Anatsa, ein hartnäckiger Android-Bankentrojaner, hat an einer neuen Malware-Kampagne für Mobilgeräte teilgenommen. Im November 2021 nahm derselbe Anasta-Trojaner an einer anderen Kampagne teil. Diese Kampagne befand sich auf Google Play und imitierte eine Reihe von herunterladbaren Apps. Diese Apps, wie z. B. PDF-Scanner, QR-Scanner, Adobe-Illustrator-Apps und Fitness-Tracker-Apps, wurden über 300.000 Mal heruntergeladen. Der Start der neuen Anatsa-Kampagne im März 2023 zielte auf Online-Banking-Zahlungen und Nutzer in den Vereinigten Staaten, dem Vereinigten Königreich, Österreich, Deutschland und der Schweiz ab.
Jetzt ändern die Angreifer ihren Ansatz, indem sie bösartige Werbung über Google Play starten. Sie listen schädliche Apps in der Kategorie "Büro" oder "Produktivität" auf, die sich an Berufstätige richten, wie z. B. Anatsa PDF Viewer, eine Bearbeitungs-App und eine Office-Suite. Während Google viele dieser bösartigen Apps entfernt hat, ist Anatsa weiterhin in der Lage, diese zu umgehen. Sie veröffentlichen neue Apps mit legitimen Codes, die dann beim Hochladen in den App-Store verändert werden. Wenn ein Benutzer die bösartige Anwendung herunterlädt, erscheint eine Popup-Warnung und fordert ihn auf, einen zweiten Host auf GitHub zuzulassen. Sobald der Benutzer dies akzeptiert, wird der infizierte Code auf seinem Gerät freigegeben, erscheint aber als zusätzliches Add-on für die App.
Mithilfe von Anatsa ist diese Kampagne in der Lage, alle Finanzdaten der Nutzer abzurufen, wie z. B. Bankdaten und Kreditkarteninformationen. Der Trojaner war erfolgreich beim Abrufen dieser Informationen, indem er Phishing-Seiten platzierte, wenn Nutzer zu ihrer Banking-App wechselten. Die gestohlenen Informationen werden an Geldkuriere geschickt, sobald sie in Kryptowährung umgewandelt sind. Derzeit hat es Anatsa auf über 600 Banken abgesehen, darunter E*TRADE, J.P. Morgan, Capital One, Schwab und andere.
(Quelle: BleepingComputer)
Pilot Credentials, ein Unternehmen, das Piloten in Texas rekrutiert, hatte einen Datenverlust von mehr als 8.000 Bewerbern von Southwest und American Airlines. Die verletzte Datenbank enthält Informationen wie Sozialversicherungsnummern, Reisepassnummern, Führerschein- und Pilotenscheinnummern. Die Sicherheitsverletzung wurde am 3. Mai entdeckt, lag aber schon einige Wochen zurück. Beide Unternehmen haben keine betrügerischen Aktivitäten festgestellt, sondern verlagern ihre Arbeitsabläufe intern als direkte Methode zur Fluggesellschaft.
Sicherheitsexperten sagen, dass diese Art von Informationen es Angreifern ermöglicht, Identitätsdiebstahl, Finanzbetrug und Phishing-Angriffe durchzuführen. Dies ist nicht das erste Mal, dass Fluggesellschaften von Bedrohungsakteuren angegriffen werden. Im Jahr 2022 gab es bei American einen Phishing-Angriff auf die E-Mails der Mitarbeiter, durch den sensible Kundendaten gefährdet waren. Da die Angreifer nun die Aufmerksamkeit auf diese Branche gelenkt haben, setzt die Transportation Security Administration (TSA) neue Cybersicherheitsvorschriften für Flughäfen und die Betriebssoftware in Flugzeugen durch.
(Quelle: DarkReading)
Die Prozessinjektion, eine von Angreifern verwendete Art der Ausführung von beliebigem Code, ermöglicht es Hackern, unbemerkt schädlichen Code in einem vertrauenswürdigen Softwaresystem auszuführen. In den meisten Fällen verwenden die Angreifer Windows-API-Aufrufe, um die Systemberechtigung zu ändern und Threads zu starten oder Speicher im Programm zuzuweisen. Normalerweise können Sicherheitstools dieses Verhalten erkennen und kennzeichnen es. Mockingjay, eine neue Form dieser Angriffsmethode, ermöglicht es Angreifern jedoch, einen alternativen Weg in diese Systeme zu finden. Sie kompromittieren sie, ohne dass die Sicherheitsmaßnahmen zur Erkennung und Reaktion von Endgeräten (EDR) alarmiert werden. Stattdessen können die Bedrohungsakteure, die Mockingjay verwenden, bösartigen Code in entfernte Systeme einschleusen. Dies ist durch das Lesen, Schreiben und Erzeugen von Abschnitten in der Dynamic Link Library möglich, wodurch EDR nicht alarmiert wird.
Bei der Entwicklung dieser neuen Technik und der dynamischen Link-Bibliothek verwendeten die Forscher einen bereits vorhandenen RWX-Abschnitt und nutzten dessen Systemspeicherschutz, um alle platzierten EDR-Hooks zu umgehen. Diese Methode ermöglicht es den Forschern, den Code zu verändern und zwei verschiedene Injektionsmethoden durchzuführen. Die erste war die Selbstinjektion. Mit verschiedenen Windows-API-Aufrufen wurde die infizierte Dynamic Link Library in die benutzerdefinierte Anwendung der Forscher, nightmare.exe, geladen. Dies ermöglichte den Zugriff auf den RMW-Abschnitt, ohne dass irgendwelche Speicher- oder Berechtigungsaktionen erforderlich waren. NTDLL.DLL wird verwendet, um das System zu säubern, indem Syscall-Nummern entfernt werden und der EDR-Unhooking-Ansatz von Hell's Gate verwendet wird, so dass der Shellcode ohne Flags ausgeführt werden kann. Die zweite Methode war die Einschleusung eines entfernten Prozesses, um eine Nutzlast in den entfernten Prozess ssh.exe als Kindprozess mit msys-2.0.dll im TWX-Bereich einzufügen. Mit ssh.exe werden die Zielprozesse entsperrt, so dass der bösartige Code in den RMW-Speicherbereich der DLL gelangen kann. Der injizierte Shellcode wird von der DLL-Datei MyLibrary.dll, einer Reverse Shell, getäuscht. Die Forscher fanden heraus, dass dieser Angriff die EDR-Maßnahmen umgeht, ohne Prozesse zu erzeugen.
(Quelle: BleepingComputer)
Im Juli 2020 schaltete die europäische Regierungsbehörde Europol EncroChat, ein Netzwerk für verschlüsselte Kommunikation, ab. Die Teilnehmer dieses Netzwerks verfügten über eine sehr dauerhafte Verschlüsselung, mit der die Nutzer verborgen blieben. Die Plattform verfügte über Funktionen wie die Löschung von Daten durch den Dienst und manipulationssichere Boot-Tools für die Sicherheit. Am Dienstag gaben die Strafverfolgungsbehörden bekannt, dass diese erfolgreiche Operation zu mehr als 6.500 Verhaftungen weltweit und zur Erlangung von 900 Millionen Euro (982 Millionen Dollar) aus ihren Untergrundprogrammen geführt hat. Bei den Verhaftungen waren fast 200 der Verdächtigen in hochrangige Gruppen der organisierten Kriminalität verwickelt. Die Erlöse der Kriminellen wurden in Einnahmen aufgeteilt und dann für die Beteiligung an Kampagnen anderer Angreifer ausgegeben.
Bei weiteren Ermittlungen stellten die Behörden fest, dass über den Kommunikationsanbieter mehr als 115 Millionen Gespräche mit 60.000 Abonnenten geführt wurden. Über den finanziellen Gewinn des Unternehmens hinaus haben die Behörden über 30 Millionen chemische Drogenpillen, 270 Tonnen anderer illegaler Substanzen, 1.365 kriminelle Betriebswohnungen, Fahrzeuge, Boote und Flugzeuge sowie über Tausende von Waffen und andere Ausrüstungsgegenstände beschlagnahmt.
Nach dieser äußerst erfolgreichen Operation sind die nicht verhafteten Mitglieder zu einem anderen Verschlüsselungsunternehmen, Sky ECC, gewechselt, das sorgfältig beobachtet und demontiert wurde. Europäische, französische, niederländische und US-amerikanische Regierungsbehörden schalteten sich ein, da diese Plattform weltweit genutzt wurde und 27 Millionen Nachrichten zwischen Angreifern in zahlreichen verschiedenen Banden zur Kommunikation bereitstellte.
(Quelle: CyberSecurityNews)
LetMeSpy ist eine App zur Verfolgung von Android-Telefonen, die für Eltern entwickelt wurde, um zu kontrollieren, was und wie oft ihre Kinder ihr Gerät benutzen, und für Unternehmen, um die Gerätezeit der Mitarbeiter zu begrenzen. Diese App speichert Texte, Anrufe und Benutzerstandorte.
Am 21. Juli führte der tiefe Informationsstand dieser App dazu, dass sich Angreifer in das System hackten und Daten von Nutzern bis ins Jahr 2013 erlangten. Das Unternehmen versichert, dass sein System die Daten automatisch nach zwei Monaten eines inaktiven Benutzerkontos löscht; dies ist jedoch nicht der Fall. Ein Sicherheitsforschungsteam entdeckte diesen Verstoß und alarmierte die App zur Geräteverfolgung. Der unbekannte Bedrohungsakteur antwortete jedoch auf die Nachricht und erklärte die Übernahme der Domäne der App. Bislang ist bekannt, dass die Bedrohungsakteure mehr als 13.000 Geräte kompromittiert haben, wobei sie nur wenige Informationen über die erlangten Daten veröffentlichen. Strafverfolgungsbehörden und Sicherheitsbehörden beobachten die Angelegenheit genau und versuchen, so viele Informationen wie möglich zu sammeln, die die Bande preisgibt.
(Quelle:DarkReading)
