FEB 05, 2025ravie Lakshmananmalware / Usalama wa Mtandao Kampeni mbaya ya programu imezingatiwa ikitoa Trojan ya Upataji wa mbali (Rat) inayoitwa Asyncrat kwa kutumia malipo ya Python na Trycloudflare. “Asyncrat ni ufikiaji wa mbali Trojan (panya) ambayo hutumia muundo wa async/kungojea kwa mawasiliano bora, ya asynchronous,” mtafiti wa ForcePoint X-Labs Jyotika Singh alisema katika uchambuzi. “Inaruhusu washambuliaji kudhibiti mifumo iliyoambukizwa kwa nguvu, kuzidisha data na kutekeleza amri wakati unabaki siri – na kuifanya iwe cyberthreat muhimu.” Sehemu ya kuanzia ya mnyororo wa shambulio la hatua nyingi ni barua pepe ya ulaghai ambayo ina URL ya Dropbox ambayo, baada ya kubonyeza, kupakua jalada la zip. Sasa ndani ya faili ni faili ya njia ya mkato ya mtandao (URL), ambayo hutumika kama faili ya njia ya mkato ya Windows (LNK) inayohusika na kuchukua maambukizi zaidi, wakati hati inayoonekana kuwa ya PDF inayoonekana inaonyeshwa kwa mpokeaji wa ujumbe. Hasa, faili ya LNK inapatikana tena kwa njia ya URL ya TrycloudFlare iliyoingia ndani ya faili ya URL. TryCloudFlare ni huduma halali inayotolewa na CloudFlare kwa kufunua seva za wavuti kwenye mtandao bila kufungua bandari yoyote kwa kuunda kituo kilichojitolea (yaani, subdomain kwenye TryCloudFlare[.]com) ambayo inasababisha trafiki kwa seva. Faili ya LNK, kwa upande wake, inasababisha PowerShell kutekeleza nambari ya JavaScript iliyohudhuriwa kwenye eneo lile lile ambalo, kwa upande wake, linaongoza kwa maandishi ya batch (BAT) yenye uwezo wa kupakua jalada lingine la zip. Faili mpya ya Zip iliyopakuliwa ina malipo ya Python iliyoundwa ili kuzindua na kutekeleza familia kadhaa zisizo, kama vile asyncrat, panya wa sumu, na Xworm. Inastahili kuzingatia kwamba tofauti kidogo ya mlolongo huo wa maambukizi iligunduliwa mwaka jana kueneza asyncrat, guloader, mwizi wa purelogs, panya wa remcos, panya wa sumu, na xworm. “Kampeni hii ya asyncrat imeonyesha tena jinsi watekaji nyara wanaweza kutumia miundombinu halali kama URL za Dropbox na TryCloudFlare kwa faida yao,” Singh alibaini. “Malipo hupakuliwa kupitia URL za Dropbox na miundombinu ya muda mfupi ya TryCloudFlare, na hivyo kuwadanganya wapokeaji kuamini uhalali wao.” Maendeleo hayo yanakuja wakati wa kuongezeka kwa kampeni za ulaghai kwa kutumia zana za ulaghai-kama-huduma (PHAAS) kufanya shambulio la kuchukua akaunti kwa kuelekeza watumiaji kurasa za kutua zinazoiga kurasa za kuingia za majukwaa ya kuaminika kama Microsoft, Google, Apple, na Github. Mashambulio ya uhandisi wa kijamii yaliyofanywa kupitia barua pepe pia yamezingatiwa kuwa na hesabu za muuzaji zilizoathirika ili kuvuna watumiaji wa Microsoft 365, ishara kwamba watendaji wa vitisho wanachukua fursa ya mnyororo wa usambazaji uliounganika na uaminifu wa asili kupitisha njia za uthibitisho wa barua pepe. Baadhi ya kampeni zingine za ulaghai zilizoandikwa hivi karibuni katika wiki za hivi karibuni ziko chini – mashambulio yanayolenga mashirika kote Amerika ya Kusini ambayo hutumia hati rasmi za kisheria na risiti za kusambaza na kutekeleza mashambulio ya sapphirerat yanayotumia vikoa halali, pamoja na zile za tovuti za serikali (“.gov”) , kuwa mwenyeji wa Microsoft 365 sifa za uvunaji wa kurasa zinazohusika na mashirika ya ushuru na mashirika yanayohusiana ya kifedha kulenga watumiaji huko Australia, Uswizi, Uingereza, na Amerika kukamata sifa za watumiaji, kufanya malipo ya ulaghai, na kusambaza programu hasidi kama asyncrat, metastealer, panya wa Venom, Panya, na kusambaza programu hasidi kama Asyncrat, Metastealer, Venom Panya, Mashambulio ya Xworm ambayo yanaongeza kurasa za Microsoft Active Saraka ya Saraka (ADFS) kukusanya sifa na nambari za uthibitishaji wa sababu nyingi (MFA) kwa kufuata mashambulio ya barua pepe ya kifedha ambayo huajiri wafanyikazi wa Cloudflare (wafanyikazi.Dev) kukaribisha uvunaji wa sifa ya kawaida ya kuvuna Kurasa zinazoiga huduma mbali mbali za huduma za mkondoni zinazolenga mashirika ya Ujerumani na kuingizwa kwa Sliver chini ya mwongozo wa mikataba ya ajira ambayo hutumia wahusika wa upanaji wa sifuri na laini ya Hyphen (aka Shy) ili kupitisha ukaguzi wa usalama wa URL katika shambulio la barua pepe ambalo linasambaza URL zilizopigwa na booby Hiyo inaleta scareware, mipango isiyohitajika (PUPS) na kurasa zingine za kashfa kama sehemu ya kampeni inayoitwa ApateWeb Utafiti wa Hivi karibuni na Cloudsek pia imeonyesha kuwa inawezekana kutumia miundombinu ya Zendesk kuwezesha mashambulio ya ulaghai na kashfa za uwekezaji. “Zendesk inaruhusu mtumiaji kujiandikisha kwa jaribio la bure la jukwaa la SaaS, kuruhusu usajili wa subdomain, ambayo inaweza kutumiwa vibaya kuiga lengo,” kampuni hiyo ilisema, na kuongeza washambuliaji wanaweza kutumia vitongoji hivi kutoa barua pepe za ulaghai kwa kuongeza Anwani za barua pepe za malengo kama “watumiaji” kwa Portal ya Zendesk. “Zendesk haifanyi ukaguzi wa barua pepe kuwaalika watumiaji. Ambayo inamaanisha kuwa akaunti yoyote isiyo ya kawaida inaweza kuongezwa kama mwanachama. Kurasa za ulaghai zinaweza kutumwa, kwa njia ya tikiti zilizopewa anwani ya barua pepe.” Je! Nakala hii inavutia? Tufuate kwenye Twitter na LinkedIn kusoma yaliyomo kipekee tunayotuma.
Leave a Reply