Cybersicherheitsforscher haben eine weitere gefälschte Jobkampagne entdeckt, die tödliche Malware verbreitet.
Das Neueste von Mandiant Bericht (öffnet in neuem Tab) gefunden, dass eine neue Version bekannter Malware (öffnet in neuem Tab) Bedrohung Ursnif (auch bekannt als Gozi) wurde in freier Wildbahn gemeldet.
Im Gegensatz zu den vorherigen Versionen verfügt diese Version nicht über die üblichen Banking-Trojaner-Funktionen, was die Forscher dazu veranlasst, zu spekulieren, dass die Malware modifiziert wurde, um Ransomware zu verbreiten.
Gefälschte Stellenangebote auf LinkedIn
Mandiant nannte diese Version LDR4, nachdem sie sie Ende Juni 2022 entdeckt hatte. Um die Malware zu verbreiten, erstellen die Angreifer gefälschte LinkedIn-Konten und geben sich als Personalvermittler für große Unternehmen aus. Nachdem sie sich an ihre Ziele gewandt und ein Gespräch geführt haben, um eine gewisse Legitimität herzustellen, teilen sie einen Link.
Die verlinkte Website fordert die Opfer dann auf, eine CAPTCHA-Herausforderung zu lösen, um ein Excel-Dokument herunterzuladen, das vorgibt, mehr Details über die Position zu bieten, aber tatsächlich ein bösartiges Makro enthält, das die Malware von einem entfernten Standort abruft.
Da LDR4 in Form einer .DLL-Datei (loader.dll) vorliegt, von tragbaren ausführbaren Kryptern gepackt und mit gültigen Zertifikaten signiert ist, entzieht es sich der Erkennung durch einige Antivirenprogramme (öffnet in neuem Tab) Lösungen, warnten die Forscher.
Sobald die .DLL-Datei ausgeführt wird, sammelt sie Systemdienstdaten aus der Windows-Registrierung und generiert eine Benutzer- und System-ID. Es verbindet sich auch mit dem Command-and-Control-Server (C2) der Malware, um die Liste der auszuführenden Befehle abzurufen.
Derzeit können die Forscher das Endspiel von Ursnif nicht zu 100 % bestätigen, aber sie stellten fest, dass angeblich ein Bedrohungsakteur beobachtet wurde, der nach Partnern fragte, um Ransomware und die RM3-Version von Ursnif über unterirdische Hacking-Foren zu verteilen.
Das letzte Mal, dass wir von Ursnif gehört haben, war im Januar 2022, als HP Wolf Security beobachtete, wie es über bewaffnete Excel-Dateien unter italienischsprachigen Benutzern verbreitet wurde.
Über: Piepender Computer (öffnet in neuem Tab)