Mystic Stealer ist eine Crimeware-Lösung, die im April 2023 für etwas weniger als 200 US-Dollar pro Monat veröffentlicht wurde. Diese Malware ist für den Diebstahl von Daten über mehrere Webbrowser und Erweiterungen verantwortlich, zielt auf Kryptowährungs-Geldbörsen und -Streams ab und verwendet Techniken, um eine Entdeckung zu vermeiden. Das Bedienfeld wurde in Python erstellt und anschließend in der Programmiersprache C implementiert. Das Panel ist so konzipiert, dass es den Kunden des Stehlers Zugang zu allen Datenprotokollen bietet, die sie abgerufen haben.
Der Virus wurde im Mai modifiziert und enthält nun einen Loader, der Nutzdaten der nächsten Stufe von einem Command-and-Control-Server empfängt und verteilt, was ihn zu einer noch gefährlicheren Bedrohung macht. Forscher glauben, dass diese Malware darauf abzielt, mehr Informationen zu stehlen, indem sie sich darauf konzentriert, die Analyse und Erkennung durch die Verteidigung zu umgehen. Die stehlenden Kriminellen unterstützen andere Cyberkriminelle bei der Durchführung ihrer Kampagnen, indem sie ihnen grundlegende Daten zur Verfügung stellen, die dann zur Durchführung von Ransomware- und Datenerpressungskampagnen verwendet werden.
(Quelle: TheHackerNews)
Die NSO Group ist eine berüchtigte israelische Firma, die ein Null-Klick-Spionageprogramm namens Pegasus entwickelt. Diese Malware wurde im Jahr 2021 von der US-Regierung auf die schwarze Liste gesetzt. Sie wurde entwickelt, damit Angreifer Regierungsbeamte, Botschaftsmitarbeiter, Geschäftsleute und eine Vielzahl anderer Gruppen weltweit überwachen können. Der Gruppe wurden Beschränkungen auferlegt, damit sie bis Ende 2021 US-Technologie weitergeben kann. Dennoch entdeckten neun Beamte des Ministeriums diese Spyware auf ihren mobilen Geräten.
Gegen die NSO Group wurde eine Reihe von Klagen wegen dieser speziellen Spionagesoftware eingereicht. Hanan Elatr, die Ehefrau von Jamal Khashoggi, dem verstorbenen Journalisten der Washington Post, reichte eine Klage wegen Verletzung der US-Hacking-Gesetze ein. Sie behauptet, der Konzern habe seine Software eingesetzt, um Jamals Tod zu überwachen, und habe ihre finanzielle Sicherheit, ihre Privatsphäre und ihre Karriere gefährdet. Ende 2021 reichte Apple eine Klage gegen NSO ein, weil es seine Kunden mit bösartiger Software bedroht hatte. Im Januar ermächtigte der Oberste Gerichtshof der USA WhatsApp, ein beliebtes Messaging-Netzwerk, seine Klage gegen NSO wegen der Implementierung dieser Software auf seiner mobilen Plattform voranzutreiben.
Trotz der rechtlichen Probleme der NSO-Gruppe hat sie weiterhin versucht, die Spionagesoftware Pegasus zu modifizieren und zu verbessern, und Unternehmen haben diese Software bereits in ihren Kanälen gesehen. US-Investoren und Rüstungsunternehmen betrachten diese bösartige Software als finanziellen Gewinn und beginnen, den Kauf einiger Vermögenswerte der Gruppe zu prüfen. Experten raten jedoch davon ab, diese Vermögenswerte zu erwerben, da dies mögliche Sicherheitsprobleme aufwirft und den Weg für weitere Schwachstellen in der Zukunft ebnen könnte.
(Quelle: DarkReading)
Asus, ein Unternehmen für Computerhardware, hat neun Firmware-Updates für seine WiFi-Router-Modelle veröffentlicht. In einer kürzlich durchgeführten Untersuchung hat Asus verschiedene Schwachstellen aufgedeckt, mit denen seine Kunden konfrontiert werden könnten, darunter Angriffe zur Code-Ausführung, Informationsverluste, Umgehung von Diensten und Methoden zur Umgehung der Authentifizierung.
Zwei Schwachstellen stachen besonders hervor, da sie einen CVSS-Sicherheitsgrad von 9,8 haben und Speicherbeschädigungen betreffen. CVE-2018-1160 setzt Router Codeausführungsangriffen durch unbefugte Angreifer aus, die versuchen, diese Schwachstelle zur Ausführung von Codeangriffen auszunutzen. Die zweite Schwachstelle ist CVE-2022-26376, bei der es sich um eine Speicherschwachstelle im httpd von Asuswrt handelt. Bedrohungsakteure könnten eine HTTP-Anfrage strategisch formatieren, was zu einem Angriff mit Speicherbeschädigung führt. Asus rät seinen Kunden, auf die neueste Firmware zu aktualisieren oder die infizierten Router zu deaktivieren.
Dies ist nicht das erste Mal, dass Asus von einer Sicherheitslücke betroffen ist; die folgenden WiFi-Router waren in der Vergangenheit betroffen: Asus GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 und TUF-AX5400.
(Quelle: SecurityWeek)
Mit der jüngsten Übernahme von KI-Chatbots integrieren viele Unternehmen diese Software in ihre täglichen oder betrieblichen Projekte. Im Laufe von fast einem Jahr (Juni 2022-Mai 2023) konnten Cyber-Angreifer über 100.000 Zugangsdaten für diesen KI-Bot kompromittieren. ChatGBT ist so konfiguriert, dass er alle Informationen aus allen Unterhaltungen speichert, was den Bedrohungsakteuren eine größere Datenbank bietet, mit der sie arbeiten können. Die kompromittierten Informationen wurden in diesem Monat im Dark Web aufgedeckt, da die Zahl der zum Verkauf angebotenen Logs zum Informationsdiebstahl gestiegen ist. Die drei bösartigen Diebe, die dafür verantwortlich sind, sind Raccoon (78.000 Protokolle), Vidar (ca. 13.000) und Redline (mit ca. 7.000).
Der asiatisch-pazifische Raum, der Nahe Osten und Afrika, Europa, Lateinamerika und Nordamerika weisen die meisten verletzten und zum Verkauf stehenden Kontoprotokolle auf. Diese neue Kampagne stammt aus einer laufenden Kampagne, in der die Angreifer ansprechende Inhalte für Erwachsene von einer veränderten Version von AsyncRAT, bekannt als DCRat, verwenden. Es wurde behauptet, dass kompromittierte Benutzer Dateien mit einer neuen VBScript-Version namens GuLoader heruntergeladen haben. Diese neue Spyware fängt die Skripte der Benutzer ab und wandelt sie in verschlüsselte PowerShell-Skripte um, die dann in ihrer Webanwendung ausgeführt werden.
Informationsdiebe sind unter allen Bedrohungsakteuren auf dem Vormarsch, da sie immer geschickter werden. Sie können leicht an die Passwörter und Finanzdaten der Benutzer gelangen, indem sie Einblicke in deren Internetbrowser und Kryptowährungs-Addons sammeln. Die erlangten Informationen werden im Dark Web verkauft, in der Hoffnung, dass andere Kriminelle sie für ihre Kampagnen nutzen werden. Die Forscher raten den Nutzern, die Zwei-Faktor-Authentifizierung für ihre Konten zu aktivieren, um zu verhindern, dass weitere Konten kompromittiert werden.
(Quelle: TheHackerNews)
Operation Triangulation zielt auf leitende Angestellte, die Apple iPhones verwenden, mit einer bösartigen Exploit-Nachricht ab, die eine Schwachstelle für die Remotecodeausführung enthält. Der Code enthält eine Funktion, die es Angreifern ermöglicht, die Kontrolle über die Zielgeräte zu erlangen. Wenn die Benutzer ihr Gerät jedoch nicht zurücksetzen, wird die Spyware nach 30 Tagen automatisch deinstalliert. Dann müssen die Angreifer die Spyware erneut installieren, um das Zielgerät zu infizieren.
TriangleDB hat über die Protbuf-Bibliothek eine Schnittstelle zu seinem Command-and-Control-Server für die Datenübertragung. Die Nachrichten werden mit symmetrischen und asymmetrischen Verschlüsselungsalgorithmen wie 3DES und RSA verschlüsselt. Kaspersky, das diesen Schädling als erstes entdeckte, entdeckte 24 Befehle, die sich auf die Interaktion mit Dateien und Prozessen, Schlüsselbund-Dumps, die Überwachung von Geolokationen und die Ausführung zusätzlicher Module von ausführbaren Dateien im Mach-Objekt-Format beziehen. Diese Schadsoftware untersucht Ordneränderungen aufmerksam auf kürzlich erfolgte Aktualisierungen und erkennt Dateien, die exfiltriert werden sollten. Kaspersky entdeckte, dass die Hintermänner der TriangleDB-Operation nun Macbooks mit einer sehr ähnlichen Operation ins Visier nehmen.
(Quelle: SecurityWeek)
