ALLERTA PERICOLI INFORMATICI

Microsoft mette in guardia contro gli hacker che utilizzano Google Ads per distribuire Royal Ransomware

Microsoft mette in guardia contro gli hacker che utilizzano Google Ads per distribuire Royal Ransomware
Scritto da gestore

Allerta Pericoli Informatici sui Social :
allerta pericoli informatici su facebookallerta pericoli informatici su linkedinallerta pericoli informatici su twitterallerta pericoli informatici su pinterestallerta pericoli informatici su itunes podcast allerta pericoli informatici su telegramallerta pericoli informatici su google newsallerta pericoli informatici su flickr

APP 1 : Allerta Pericoli Informatici
allerta pericoli informatici
app google store allerta pericoli informatici Google Play
app apple store allerta pericoli informatici Apple Store
APP 2 : AiutamiSi ( tanti servizi gratuiti )
aiutamisi app
app su google store per avere informazioni utili Google Play
app su apple store per avere informazioni utili Apple Store

È stato rilevato un cluster di attività di minaccia in via di sviluppo che utilizza Google Ads in una delle sue campagne per distribuire vari payload post-compromissione, incluso il ransomware Royal recentemente scoperto .

Microsoft, che ha individuato il metodo di consegna del malware aggiornato alla fine di ottobre 2022, sta monitorando il gruppo con il nome DEV-0569 .

“Gli attacchi DEV-0569 osservati mostrano un modello di continua innovazione, con l’incorporazione regolare di nuove tecniche di scoperta, evasione della difesa e vari payload post-compromissione, oltre ad aumentare la facilitazione del ransomware”, ha affermato il team di Microsoft Security Threat Intelligence in un’analisi.

È noto che l’autore della minaccia si affida al malvertising per indirizzare vittime ignare a collegamenti di downloader di malware che si presentano come installatori di software per app legittime come Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams e Zoom.

Il downloader di malware, un ceppo denominato BATLOADER , è un dropper che funge da canale per distribuire i payload della fase successiva. È stato osservato che condivide sovrapposizioni con un altro malware chiamato ZLoader .

Una recente analisi di BATLOADER di eSentire e VMware ha messo in luce la furtività e la persistenza del malware, oltre al suo utilizzo dell’avvelenamento dell’ottimizzazione dei motori di ricerca (SEO) per indurre gli utenti a scaricare il malware da siti Web compromessi o domini creati da aggressori.

In alternativa, i collegamenti di phishing vengono condivisi tramite e-mail di spam, pagine di forum falsi, commenti di blog e persino moduli di contatto presenti sui siti Web delle organizzazioni mirate

“DEV-0569 ha utilizzato varie catene di infezione utilizzando PowerShell e script batch che alla fine hanno portato al download di payload di malware come ladri di informazioni o uno strumento di gestione remota legittimo utilizzato per la persistenza sulla rete”, ha osservato il gigante della tecnologia.

“Lo strumento di gestione può anche essere un punto di accesso per la messa in scena e la diffusione di ransomware.”

Intermezzo promozionale ... continua la lettura dopo il box:

Viene utilizzato anche uno strumento noto come NSudo per avviare programmi con privilegi elevati e compromettere le difese aggiungendo valori di registro progettati per disabilitare le soluzioni antivirus.

L’uso di Google Ads per fornire BATLOADER in modo selettivo segna una diversificazione dei vettori di distribuzione del DEV-0569, consentendogli di raggiungere più obiettivi e fornire payload di malware, ha sottolineato la società.

Posiziona ulteriormente il gruppo per fungere da broker di accesso iniziale per altre operazioni di ransomware, unendosi a malware come Emotet , IcedID , Qakbot .

“Poiché lo schema di phishing di DEV-0569 abusa di servizi legittimi, le organizzazioni possono anche sfruttare le regole del flusso di posta per acquisire parole chiave sospette o rivedere ampie eccezioni, come quelle relative agli intervalli IP e agli elenchi consentiti a livello di dominio”, ha affermato Microsoft.

Fonte : https://thehackernews.com