Исследователи из CYBLE обнаружили возможного предшественника ParrotStealer

Специалисты CYBLE в рамках Cyble Research and Intelligence Labs (CRIL) обнаружили на одном из форумов, связанных с киберпреступностью, опубликованную сборку MiniStealer. Вредоносное ПО представляет из себя 64-битную сборку .NET, которая модифицирует временные метки файлов для сокрытия следов в системе. С помощью полезной нагрузки злоумышленник может украсть данные из FTP-приложений или браузеров на основе Chromium. Исследователи предположили, что злоумышленник мог добавить эти функции в ParrotStealer, который, в свою очередь, является обновлённой платной версией MiniStealer.


Cisco Talos опубликовала отчёт об использовании ModernLoadler для заражения систем

Исследователь из компании Cisco Talos опубликовал отчёт о 3 разрозненных, но связанных масштабных кампаниях, в ходе которых злоумышленники доставляли ModernLoader, RedLine Stealer и различные криптомайнеры на скомпрометированные устройства жертв. Начальный этап кампаний представляет из себя файл HTML-приложения (HTA), который запускает сценарий PowerShell, размещенный на C2-сервере.Затем командный сервер инициирует развертывание промежуточных полезных нагрузок, которые внедряют вредоносное ПО методом очистки процессов. ВПО ModernLoader оснащено функциями для сбора системной информации, выполнения произвольных команд или загрузки и запуска файла с C2-сервера, что позволяет злоумышленнику изменять модули в реальном времени. Также обнаруженные цепочки заражения включают попытки взлома уязвимых веб-приложений, таких как WordPress и CPanel, для распространения вредоносного ПО с помощью файлов, которые маскируются под поддельные подарочные карты Amazon.


Специалисты из McAfee обнаружили 5 расширений Google Chrome, крадущих данные пользователей

Аналитики угроз McAfee обнаружили пять расширений Google Chrome (Netflix Party, Netflix Party 2, Full Page Screenshot Capture – Screenshotting, FlipShope – Price Tracker Extension, AutoBuy Flash Sales), которые крадут данные о действиях пользователей в Интернете. В совокупности эти вредоносные расширения были загружены более 1,4 миллиона раз. Целью вредоносных расширений является отслеживание времени посещения сайтов электронной коммерции и изменение cookie-файла пользователя так, чтобы он совершил переход по реферальной ссылке. За это авторы расширений получают партнерское вознаграждение за любые покупки в магазинах электроники. Данные доставляются через POST-запросы каждый раз, когда пользователь посещает новый URL-адрес. Информация, поступающая к мошеннику, включает URL-адрес в формате base64, идентификатор пользователя, местоположение устройства (страна, город, почтовый индекс) и закодированный реферальный URL-адрес.