Опубликовано исследование JavaScriprt скиммера Magecart
Специалисты CYBLE в рамках Cyble Research and Intelligence Labs (CRIL) обнаружили новый скиммер, написанный на JavaScript группировкой Magecart и используемый для атак на сайты онлайн-магазина Magneto. В ходе атак злоумышленники использовали уязвимости CMS для получения доступа к исходному коду сайта и внедрения вредоносного кода. Скрипт перехватывал и проверял на соответствие данные пользователей из платёжных форм и страниц оформления заказов. Скиммер загружал накладку на форму для сбора платёжной информации и отправлял их в виде обфусцированных в base64 POST-запросов на URL-адрес злоумышленника.
Опубликован отчёт о деятельности группировки JuiceLedger
Исследователи SentinelLabs в сотрудничестве с Checkmarx опубликовали отчёт об активности и эволюции группировки JuiceLedger. В начале 2022 года злоумышленники начали проводить относительно незаметные кампании, распространяя мошеннические .NET-приложения, предназначенные для кражи конфиденциальных данных из браузеров жертв. В августе 2022 года злоумышленники отравляли пакеты с открытым исходным кодом, чтобы охватить более широкую аудиторию, воруя информацию с помощью атак на цепочку поставок. В рамках фишинговой кампании операторы JuiceLedger активно атаковали разработчиков PyPi, отправляя фишинговые электронные письма и ВПО, предназначенное для последующего заражения пользователей с помощью JuiceStealer.
CYBLE обнаружили новый банковский троян Zanubis
Специалисты CYBLE в рамках Cyble Research and Intelligence Labs (CRIL) наткнулись на неизвестный образец вредоносного ПО. После тщательного анализа программа была идентифицирована как новый вариант банковского Android трояна. ВПО получило название Zanubis в честь одноименной строки-ключа для расшифровки ответов, получаемых от C&C сервера. Троян выдает себя за легитимное PDF-приложение и нацелен на банки Перу, а также на WhatsApp и Gmail. По словам специалистов, ВПО все еще находится в стадии разработки, так как некоторые используемые в коде команды еще не реализованы, а оверлейные URL-адреса для нескольких целевых приложений отсутствуют. Исследователи перечислили индикаторы компрометации, а также советы по обнаружению и предотвращению заражения ВПО.