El malware Zeus Sphinx resucita para abusar de los temores de COVID-19



Después de años de estar latente, la cepa de malware Zeus Sphinx ha resucitado para aprovechar la pandemia de coronavirus en una nueva ola de estafas. Los correos electrónicos no deseados que afirman guardar el secreto de nuevas curas de coronavirus, mensajes de texto y llamadas telefónicas de operadores que fingen ser empresas de servicios públicos y bancos afectados por la enfermedad respiratoria, y los productos falsos que previenen el coronavirus se enumeran en los mercados en línea en respuesta al brote, de los cuales los números de casos han llegado a 723,000 al momento de escribir. Cualquier crisis que pueda beneficiarse aumenta el interés de los ciberatacantes y los estafadores, y ahora, el malware que ha estado ausente del panorama de amenazas durante casi tres años, una vez más, ha comenzado a circular. El lunes, IBM X-Force dijo que Zeus Sphinx, también conocido como Zloader o Terdot, ha sido visto en campañas lanzadas en marzo que se centran en los pagos de ayuda del gobierno. Ver también: la policía del Reino Unido es criticada por usar drones para avergonzar públicamente a los caminantes en el bloqueo de coronavirus Zeus Sphinx se detectó por primera vez en la naturaleza en agosto de 2015. El malware surgió como un troyano bancario modular comercial con elementos de código central basados ​​en Zeus v2.
El malware se dirigió a instituciones financieras en todo el Reino Unido, Australia, Brasil y los Estados Unidos; y ahora, Zeus Sphinx ha resurgido con un enfoque en los mismos países a través de una nueva campaña temática de coronavirus. Los investigadores dijeron que Zeus Sphinx se está propagando a través de campañas de phishing cargadas con archivos maliciosos llamados "alivio COVID 19". Los correos electrónicos afirman que se debe completar un formulario para recibir fondos para vincular a las personas que ahora tienen que quedarse en casa en lugar de trabajar durante el brote.
El formulario adjunto, principalmente formatos de archivo .DOC o .DOCX, utiliza una técnica típica para afianzarse en un sistema.
Si se descarga y se abre, el documento solicita que un usuario habilite macros, lo que a su vez activa Zeus Sphinx carga útil mediante procesos secuestrados de Windows y un servidor de comando y control (C2) conectado que aloja el malware. CNET: Ahora que todos usan Zoom, aquí hay algunos riesgos de privacidad que debes tener en cuenta Una vez instalado en una máquina comprometida, Zeus Sphinx mantiene la persistencia al escribir dinámicamente en numerosos archivos y carpetas, así como al crear claves de registro. El malware también intenta evitar la detección como software malicioso mediante el uso de un certificado autofirmado.
Las inyecciones web son la especialidad del malware y, en algunos casos, todavía se basan en la base de código Zeus v2. Zeus Sphinx aplicará parches a explorer.exe y a los procesos del navegador, incluidos los utilizados por Google Chrome y Mozilla Firefox, para obtener inyecciones cuando un usuario visita una página de destino, como una plataforma de banca en línea.
El código modifica estas páginas. para engañarlos para que entreguen los detalles de autenticación, que luego se cosechan y se envían al C2 del malware. TechRepublic: los ciberdelincuentes atacan el manejo de calzado KEEN para las personas afectadas por la pandemia de coronavirus Sin embargo, Zeus Sphinx contiene un defecto inherente, en el que no hay ningún proceso para volver a buscar los navegadores. Por lo tanto, si un navegador empuja una actualización, IBM dice que es poco probable que la función de inyección web sobreviva.
La campaña está en curso, y solo una de muchas. Miles de dominios maliciosos con el tema COVID-19 han aparecido en las últimas semanas, y en algunos casos, los ciberatacantes están utilizando métodos interesantes para engañar a las víctimas para que visiten estos sitios web. Los investigadores de Bitdefender descubrieron recientemente que los enrutadores D-Link y Linksys se ven comprometidos y su configuración de DNS se cambia para dirigir a las víctimas hacia sitios web basados ​​en coronavirus que sirven malware.
pag VER GALERÍA COMPLETA ¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı