Des 06, 2024Ravie LakshmananMalware / Cybercrime Wahusika tishio nyuma ya programu hasidi ya More_eggs wameunganishwa na familia mbili mpya za programu hasidi, ikionyesha kupanuka kwa utendakazi wake wa programu hasidi-as-a-service (MaaS). Hii ni pamoja na mlango wa nyuma wa kuiba taarifa wa riwaya unaoitwa RevC2 na kipakiaji chenye jina la Venom Loader, ambazo zote zinatumiwa kwa kutumia VenomLNK, zana kuu ambayo hutumika kama vekta ya awali ya ufikivu kwa ajili ya kupeleka mizigo inayofuata. “RevC2 hutumia WebSockets kuwasiliana na seva yake ya amri na udhibiti (C2). Programu hasidi ina uwezo wa kuiba vidakuzi na manenosiri, trafiki ya mtandao wa proksi, na kuwezesha utekelezaji wa msimbo wa mbali (RCE),” Mtafiti wa Zscaler ThreatLabz Muhammed Irfan VA alisema. “Venom Loader ni kipakiaji kipya cha programu hasidi ambacho kimebinafsishwa kwa kila mwathiriwa, kwa kutumia jina la kompyuta ya mwathiriwa kusimba mzigo wa malipo.” Familia zote mbili za programu hasidi zimesambazwa kama sehemu ya kampeni zilizozingatiwa na kampuni ya usalama wa mtandao kati ya Agosti na Oktoba 2024. Muigizaji tishio anayehusika na matoleo ya uhalifu wa mtandaoni anafuatiliwa kama Venom Spider (aka Kuku wa Dhahabu). Utaratibu halisi wa usambazaji haujulikani kwa sasa, lakini mahali pa kuanzia kwa moja ya kampeni ni VenomLNK, ambayo, kando na kuonyesha picha ya upotoshaji ya PNG, hutekeleza RevC2. Backdoor ina vifaa vya kuiba manenosiri na vidakuzi kutoka kwa vivinjari vya Chromium, kutekeleza amri za shell, kupiga picha za skrini, trafiki ya seva mbadala kwa kutumia SOCKS5, na kutekeleza amri kama mtumiaji tofauti. Kampeni ya pili pia inaanza na VenomLNK kutoa picha ya kuvutia, huku pia ikitekeleza kinyemela Venom Loader. Kipakiaji kina jukumu la kuzindua More_eggs lite, lahaja nyepesi ya JavaScript backdoor ambayo hutoa tu uwezo wa RCE. Matokeo mapya ni ishara kwamba waandishi wa programu hasidi wanaendelea kuonyesha upya na kuboresha zana zao maalum kwa programu hasidi mpya licha ya ukweli kwamba watu wawili kutoka Kanada na Romania waliondolewa mwaka jana kama kuendesha jukwaa la MaaS. Ufichuzi huo unakuja kama ANY.RUN inaelezea kwa undani programu hasidi ya kipakiaji isiyo na hati isiyo na hati inayoitwa PSLoramyra, ambayo imetumiwa kutoa programu hasidi ya Quasar RAT ya chanzo huria. “Programu hii hasidi ya hali ya juu hutumia hati za PowerShell, VBS, na BAT kuingiza upakiaji hasidi kwenye mfumo, kuzitekeleza moja kwa moja kwenye kumbukumbu, na kuanzisha ufikiaji unaoendelea,” ilisema. Umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply