ClickFix Attack: Fake Google Meet Alerts Install Malware on Windows, macOS
2024/10/17 HackRead — 人気のビデオ会議プラットフォームである、Google Meet のユーザーを標的とするサイバー攻撃が増加していることを、Sekoia のサイバー・セキュリティ研究者たちが検出している。この攻撃では、”ClickFix” 呼ばれる戦術が使用されている。この戦術は 2024年5月に登場したものであり、Google Chrome/Google Meet/Facebook などの正当なサービスを装うことで、ユーザーを騙してマルウェアをダウンロードさせるものだ。
Continue reading “Google Meet アラートを偽装:ClickFix 攻撃によるマルウェア配信が蔓延”Over 3,000 GitHub accounts used by malware distribution service
2024/07/24 BleepingComputer — Stargazer Goblin として知られる脅威アクターが作成したのは、GitHub 上の 3,000以上の偽アカウントで構成される Distribution-as-a-Service (DaaS) であり、そこから情報スティーラー・マルウェアをプッシュしているという。このマルウェア配信サービスは Stargazers Ghost Network と呼ばれ、GitHub リポジトリと侵害済みの WordPress サイトを利用して、パスワード保護されたアーカイブを配布するが、その中にマルウェアが含まれている。ほとんどのケースにおいて、そこから配布されるマルウェアは、RedLine/Lumma Stealer/Rhadamanthys/RisePro/Atlantida Stealer などのインフォ・スティーラーである。
Continue reading “GitHub 上の 3,000以上の偽アカウントで構成される DaaS:マルウェア配布で成功している”Google: Malware abusing API is standard token theft, not an API issue
2024/01/06 BleepingComputer — Google は、先日に発見されたマルウェアの報告を軽視している。このマルウェアは、Google Chrome の文書化されていない API を悪用して、以前に盗まれた認証クッキーの有効期限が切れた際に新しい認証クッキーを生成するものだ。2023年11月下旬に、BleepingComputer は、攻撃で盗まれた期限切れの Google 認証クッキーを復元する2つの情報窃盗マルウェア・オペレーション Lumma/Rhadamanthys について報告をしている。これらのクッキーは、感染したユーザーの Google アカウントへの不正アクセスのために、脅威アクターに悪用される可能性がある。
Continue reading “Google API を介したトークン窃取:OAuth MultiLogin 問題は軽視されている?”Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts
2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。
Continue reading “OAuth エンドポイント MultiLogin:Google 認証クッキー復元の PoC もリリース”Hackers Using MSIX App Packages to Infect Windows PCs with GHOSTPULSE Malware
2023/10/30 TheHackerNews — Google Chrome/Microsoft Edge/Brave/Grammarly/Cisco Webex 用の偽の MSIX Windows アプリ・パッケージ・ファイルを使って、GHOSTPULSE という新種のマルウェア・ローダーを配布する、新たなサイバー攻撃キャンペーンが確認されている。Elastic Security Labs の研究者 Joe Desimone は、先週に発表した技術レポートの中で、「MSIX とは、開発者がアプリケーションをパッケージ化し、Windows ユーザーに配布することで、インストールを可能にするための、Windows app package format である」と説明している。
Continue reading “MSIX App Packages の悪用: GHOSTPULSE マルウェアを配信するキャンペーンが発覚”New Mystic Stealer Malware Targets 40 Web Browsers and 70 Browser Extensions
2023/06/19 TheHackerNews — Mystic Stealer と呼ばれる新たな情報窃取マルウェアが、約40種類の Web ブラウザと70種類以上の Web ブラウザ・エクステンションから、データを窃取できることが判明した。2023年4月25日に、このマルウェアは、月額 $150 という価格で発売されていたが、そこで採用されるメカニズムは、暗号通貨ウォレット/Steam/Telegram などを標的にするものであり、分析にも抵抗するという。InQuest と Zscaler の研究者たちは、「そのコードは、ポリモーフィック文字列難読化/ハッシュベースのインポート解決/定数のランタイム計算を使用して、高度に難読化されている」と、先週に発表された分析で述べている。
Continue reading “Mystic Stealer という新種のマルウェア:40 の Web ブラウザと 70 のエクステンションが標的”Raccoon and Vidar Stealers Spreading via Massive Network of Fake Cracked Software
2023/01/16 TheHackerNews — Raccoon や Vidar などの情報窃取型マルウェアの配布において、250以上のドメインで構成される大規模で弾力性のあるインフラが、2020年初頭から利用されている。サイバー・セキュリティ企業である SEKOIA は、今月の初めに発表した分析で、「偽のソフトウェア・カタログを使用すると、約 100 の Web サイトへとリダイレクトされた後に、GitHub などのファイル共有プラットフォームでホストされている、ペイロードをダウンロードすることになる」と述べている。
Continue reading “Raccoon/Vidar 情報スティーラーが蔓延:AnyDesk/Notepad++/Zoom などをルアーに使う”
IoT OT Security News 