Italiano

Commercio all'ingrosso della fabbrica del produttore

Guarda tutti i prodotti

Persegue sempre la massima qualità e fornisce il miglior servizio

Guarda tutti i prodotti

L'azienda è stata fondata nel 1998, eccellente reputazione aziendale, eccellente qualità del prodotto

Guarda tutti i prodotti

Esame del nuovo DawDropper Banking Dropper e DaaS sul Dark Web

2022-10-09 12:56:21 By : Mr. Anthony Wei

Utilizza il CRI per valutare la preparazione della tua organizzazione agli attacchi e ottenere un'istantanea del rischio informatico tra le organizzazioni a livello globale.In questo post del blog, discutiamo i dettagli tecnici di un nuovo contagocce bancario che abbiamo soprannominato DawDropper, forniamo una breve storia dei trojan bancari rilasciati all'inizio del 2022 che utilizzano contagocce dannosi ed elaboriamo le attività dei criminali informatici relative a DaaS nel deep web.Di: Trend Micro 29 luglio 2022 Tempo di lettura: ( parole)A cura del team Trend Micro MobileQuest'anno gli attori malintenzionati hanno aggiunto di nascosto un numero crescente di trojan bancari a Google Play Store tramite contagocce dannosi, dimostrando che una tale tecnica è efficace per eludere il rilevamento.Inoltre, poiché c'è una forte domanda di nuovi modi per distribuire malware mobile, diversi attori malintenzionati affermano che i loro contagocce potrebbero aiutare altri criminali informatici a diffondere il loro malware su Google Play Store, risultando in un modello dropper-as-a-service (DaaS).Nell'ultima parte del 2021, abbiamo trovato una campagna dannosa che utilizza una nuova variante del contagocce che abbiamo soprannominato DawDropper.Sotto le spoglie di diverse app Android come Just In: Video Motion, Document Scanner Pro, Conquer Darkness, simple Cleaner e Unicc QR Scanner, DawDropper utilizza Firebase Realtime Database, un servizio cloud di terze parti, per eludere il rilevamento e ottenere dinamicamente un indirizzo di download del carico utile.Ospita anche payload dannosi su GitHub.Al momento della segnalazione, queste app dannose non sono più disponibili su Google Play Store.Esploriamo i dettagli tecnici del nuovo contagocce DawDropper, esaminiamo la breve storia dei trojan bancari rilasciati all'inizio del 2022 che utilizzano contagocce dannosi e discutiamo delle attività dei criminali informatici relative a DaaS nel deep web in questo articolo.Sulla base della nostra osservazione, DawDropper ha varianti che rilasciano quattro tipi di trojan bancari, inclusi Octo, Hydra, Ermac e TeaBot.Tutte le varianti di DawDropper utilizzano un database Firebase Realtime, un database NoSQL legittimo ospitato nel cloud per l'archiviazione dei dati, come server di comando e controllo (C&C) e ospitano payload dannosi su GitHub.È interessante notare che abbiamo scoperto che un altro contagocce chiamato Clast82, segnalato da CheckPoint Research nel marzo 2021, utilizza anche Firebase Realtime Database come server C&C.Il server DawDropper C&C restituisce dati simili ai dati Clast82:Il payload dannoso di DawDropper appartiene alla famiglia di malware Octo, un malware modulare e multistadio in grado di rubare informazioni bancarie, intercettare messaggi di testo e dirottare dispositivi infetti.Octo è anche noto come Coper ed è stato storicamente utilizzato per prendere di mira gli utenti di servizi bancari online colombiani.Sulla base della nostra analisi, il payload del malware Octo di DawDropper è simile alle varianti segnalate in precedenza.Il pacchetto utilizza parole chiave del linguaggio di programmazione per offuscare funzionalità dannose.Una volta che il malware Octo viene lanciato con successo nel dispositivo della vittima e ottiene le autorizzazioni primarie, manterrà il dispositivo attivo e registrerà un servizio pianificato per raccogliere e caricare dati sensibili sul suo server C&C.Utilizza inoltre il Virtual Network Computing (VNC) per registrare lo schermo di un utente, comprese informazioni sensibili come credenziali bancarie, indirizzi e-mail, password e PIN.Il malware fa anche diventare nero lo schermo di un utente disattivando la retroilluminazione del dispositivo e disattivando l'audio del dispositivo per nascondere comportamenti dannosi.Il malware può anche disabilitare Google Play Protect (che passa attraverso le app di un dispositivo e verifica la presenza di comportamenti dannosi) e raccoglie i dati degli utenti, inclusi l'ID Android di un telefono cellulare infetto, l'elenco dei contatti, le app installate e persino i messaggi di testo.Una breve storia dei contagocce bancari all'inizio del 2022Per comprendere meglio questa tendenza alla distribuzione di trojan bancari tramite contagocce dannosi, dobbiamo guardare indietro a come i contagocce sono comparsi su Google Play Store dall'inizio del 2022, analizzare come ciascuno di questi contagocce varia l'uno dall'altro ed evolve, e impara come i criminali informatici li stanno diffondendo.Principali differenze tra i contagocce bancariSebbene questi contagocce bancari abbiano lo stesso obiettivo principale - distribuire e installare malware sui dispositivi delle vittime - abbiamo osservato che ci sono differenze marcate nel modo in cui questi contagocce bancari implementano le loro routine dannose.Ad esempio, i contagocce bancari lanciati all'inizio di quest'anno hanno indirizzi di download del carico utile codificati.Nel frattempo, i contagocce bancari che sono stati lanciati di recente tendono a nascondere l'indirizzo di download del payload effettivo, a volte utilizzano servizi di terze parti come server C&C e utilizzano servizi di terze parti come GitHub per ospitare payload dannosi.Il contagocce Vultur (SHA-256: 00a733c78f1b4d4f54cf06a0ea8cc33604512d6032ef4ef9114c89c700bfafcf), noto anche come Brunhilda, è stato segnalato per la prima volta come DaaS alla fine del 2020. Nel gennaio 2022, abbiamo osservato che scarica direttamente il payload dannoso sul dispositivo infetto e dispone di un proprio metodo decifrare il payload dannoso.Il contagocce Sharkbot (SHA-256: 7f55dddcfad05403f71580ec2e5acafdc8c9555e72f724eb1f9e37bf09b8cc0c), anch'esso rilasciato a gennaio 2022, ha un comportamento unico: non solo funge da contagocce, ma richiede anche autorizzazioni di accessibilità e risponde con tutti gli eventi dell'interfaccia utente (UI) di il dispositivo infetto.Nel frattempo, il contagocce TeaBot, rilasciato nell'aprile 2022, utilizza GitHub per ospitare il suo payload di malware.Tuttavia, TeaBot utilizza un altro repository GitHub per ottenere l'indirizzo di download, a differenza di DawDropper, che utilizza un database Firebase Realtime.Nella nostra indagine sui trojan bancari che utilizzano contagocce, abbiamo osservato che uno dei contagocce segnalati per la prima volta nel 2021, Gymdrop, è collegato a un pannello di gestione (trackerpdfconnect[.]com e smartscreencaster[.]online) che i criminali informatici possono utilizzare per gestire sia il contagocce che il carico utile.Abbiamo anche riscontrato che Gymdrop viene pubblicizzato in un forum del dark web come un tipico DaaS.I criminali informatici trovano costantemente modi per eludere il rilevamento e infettare il maggior numero possibile di dispositivi.In un arco di sei mesi, abbiamo visto come i trojan bancari hanno evoluto le loro routine tecniche per evitare di essere rilevati, come nascondere i payload dannosi nei contagocce.Man mano che un numero maggiore di trojan bancari viene reso disponibile tramite DaaS, gli attori malintenzionati avranno un modo più semplice ed economico per distribuire malware mascherato da app legittime.Prevediamo che questa tendenza continuerà e che in futuro verranno distribuiti più trojan bancari sui servizi di distribuzione digitale.Per evitare di cadere preda di app dannose, gli utenti dovrebbero adottare le seguenti best practice di sicurezza:Gli utenti mobili possono aiutare a ridurre al minimo le minacce poste da queste app fraudolente utilizzando Trend Micro Mobile Security Solutions per scansionare i dispositivi mobili in tempo reale e su richiesta per rilevare app dannose o malware per bloccarli o eliminarli.Queste app sono disponibili sia per Android che per iOS.022a01566d6033f6d90ab182c4e69f80a3851565aaaa386c8fa1a9435cb55c91call-recorder-66f03-default-rtdb[.]firebaseio[.]comhxxps://github.com/uliaknazeva888/qs/raw/main/1.apke1598249d86925b6648284fda00e02eb41fdcc75559f10c80acd182fd1f0e23arooster-945d8-default-rtdb[.]firebaseio[.]comhxxps://github.com/butcher65/test/raw/main/golgofan.apk8fef8831cbc864ffe16e281b0e4af8e3999518c15677866ac80ffb9495959637hxxps://github.com/butcher65/test/raw/main/gala.apk05b3e4071f62763b3925fca9db383aeaad6183c690eecbbf532b080dfa6a5a08hxxps://github.com/lotterevich/lott/raw/main/maina.apkf4611b75113d31e344a7d37c011db37edaa436b7d84ca4dfd77a468bdeff0271hxxps://github.com/uliaknazeva888/qs/raw/main/1.apka1298cc00605c79679f72b22d5c9c8e5c8557218458d6a6bd152b2c2514810ebeaglephotoeditor-2d4e5-default-rtdb[.]firebaseio[.]comhxxps://github.com/butcher65/test/raw/main/lolipop.apkeb8299c16a311ac2412c55af16d1d3821ce7386c86ae6d431268a3285c8e81fbhxxps://github.com/sherrytho/test/raw/main/golgol.apkd5ac8e081298e3b14b41f2134dae68535bcf740841e75f91754d3d0c0814ed42hxxps://github.com/briangreen7667/2705/raw/main/addon2.apkb4bd13770c3514596dd36854850a9507e5734374083a0e4299c697b6c9b9ec58hxxps://github.com/asFirstYouSaid/test/raw/main/110.apkhxxps://github.com/asFirstYouSaid/test/raw/main/SecureChat%20(1).apk77f226769eb1a886606823d5b7832d92f678f0c2e1133f3bbee939b256c398aafixcleaner-60e32-default-rtdb[.]firebaseio[.]comhxxps://github.com/butcher65/test/raw/main/latte.apk5ee98b1051ccd0fa937f681889e52c59f33372ffa27aff024bb76d9b0446b8a0ebcf3bce940daf4017c85700ffc72f6b3277caf7f144a69fbfd437d1343b4ab2113451a983916b8c7918c880191f7d264f242b815b044a6351c527f8aeac3c871c44a78cd77a8f5767096f268c3193108ac06ff3779c65e78bc879d3b0ff11dsaver-9a43a-default-rtdb[.]firebaseio.comhxxps://raw.githubusercontent.com/asFirstYouSaid/awdaw/main/Xnode_new.apkhxxps://raw.githubusercontent.com/asFirstYouSaid/test/main/GoogleMaps%20(2)_obf.apk9b2064f8808d3aaa2d3dc9f5c7ee0775b29e29df3a958466a8953f148b702461hxxps://github.com/gohhas/gate/raw/main/live.apkff8110883628f8d926588c0b7aedae8841df989d50f32c140d88f1105d1d3e02cleaner-f40c4-default-rtdb[.]firebaseio[.]comhxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apk02499a198a8be5e203b7929287115cc84d286fc6afdb1bc84f902e433a7961e4Qrscanner-f6d8d-default-rtdb.firebaseio.comhxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apk022a01566d6033f6d90ab182c4e69f80a3851565aaaa386c8fa1a9435cb55c91call-recorder-66f03-default-rtdb[.]firebaseio[.]comhxxps://github.com/uliaknazeva888/qs/raw/main/1.apke1598249d86925b6648284fda00e02eb41fdcc75559f10c80acd182fd1f0e23arooster-945d8-default-rtdb[.]firebaseio[.]comhxxps://github.com/butcher65/test/raw/main/golgofan.apk8fef8831cbc864ffe16e281b0e4af8e3999518c15677866ac80ffb9495959637hxxps://github.com/butcher65/test/raw/main/gala.apk05b3e4071f62763b3925fca9db383aeaad6183c690eecbbf532b080dfa6a5a08hxxps://github.com/lotterevich/lott/raw/main/maina.apkf4611b75113d31e344a7d37c011db37edaa436b7d84ca4dfd77a468bdeff0271hxxps://github.com/uliaknazeva888/qs/raw/main/1.apka1298cc00605c79679f72b22d5c9c8e5c8557218458d6a6bd152b2c2514810ebeaglephotoeditor-2d4e5-default-rtdb[.]firebaseio[.]comhxxps://github.com/butcher65/test/raw/main/lolipop.apkeb8299c16a311ac2412c55af16d1d3821ce7386c86ae6d431268a3285c8e81fbhxxps://github.com/sherrytho/test/raw/main/golgol.apkd5ac8e081298e3b14b41f2134dae68535bcf740841e75f91754d3d0c0814ed42hxxps://github.com/briangreen7667/2705/raw/main/addon2.apkb4bd13770c3514596dd36854850a9507e5734374083a0e4299c697b6c9b9ec58hxxps://github.com/asFirstYouSaid/test/raw/main/110.apkhxxps://github.com/asFirstYouSaid/test/raw/main/SecureChat%20(1).apk77f226769eb1a886606823d5b7832d92f678f0c2e1133f3bbee939b256c398aafixcleaner-60e32-default-rtdb[.]firebaseio[.]comhxxps://github.com/butcher65/test/raw/main/latte.apk5ee98b1051ccd0fa937f681889e52c59f33372ffa27aff024bb76d9b0446b8a0ebcf3bce940daf4017c85700ffc72f6b3277caf7f144a69fbfd437d1343b4ab2113451a983916b8c7918c880191f7d264f242b815b044a6351c527f8aeac3c871c44a78cd77a8f5767096f268c3193108ac06ff3779c65e78bc879d3b0ff11dsaver-9a43a-default-rtdb[.]firebaseio.comhxxps://raw.githubusercontent.com/asFirstYouSaid/awdaw/main/Xnode_new.apkhxxps://raw.githubusercontent.com/asFirstYouSaid/test/main/GoogleMaps%20(2)_obf.apk9b2064f8808d3aaa2d3dc9f5c7ee0775b29e29df3a958466a8953f148b702461hxxps://github.com/gohhas/gate/raw/main/live.apkff8110883628f8d926588c0b7aedae8841df989d50f32c140d88f1105d1d3e02cleaner-f40c4-default-rtdb[.]firebaseio[.]comhxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apk02499a198a8be5e203b7929287115cc84d286fc6afdb1bc84f902e433a7961e4Qrscanner-f6d8d-default-rtdb.firebaseio.comhxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apkhxxps://github.com/butcher65/testRepository GitHub che ospita i trojan bancari Octo e Hydrahxxps://github.com/lotterevich/lottRepository GitHub che ospita il trojan bancario TeaBothxxps://github.com/asFirstYouSaid/testRepository GitHub che ospita il trojan bancario Ermachxxps://github.com/asFirstYouSaid/awdawRepository GitHub che ospita il trojan bancario Ermachxxps://github.com/gohhas/gateRepository GitHub che ospita il trojan bancario Octohxxps://raw.github.com/k6062019/qqRepository GitHub che ospita il trojan bancario OctoRepository GitHub che ospita il trojan bancario Hydrahxxps://github.com/uliaknazeva888/mainRepository GitHub che ospita il trojan bancario Octohxxps://github.com/kazakovadana44/1.apkRepository GitHub che ospita il trojan bancario Octohxxps://github.com/sherrytho/testRepository GitHub che ospita il trojan bancario Hydra3834eb0ff1a955dab719f2ae6a51114995a7e3bd0ea201fb4f044218fe72ba4ehxxps://github.com/uliaknazeva888/qs/raw/main/1.apk8e9fa712f490b50d13940cc3ab1509566f31627fce8848071a0547bda58ceac8hxxps://github.com/butcher65/test/raw/main/gala.apk95182e759373f78c421b47dc92d15f1f37c1acea1cd76980058c6ad177491823hxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apk95182e759373f78c421b47dc92d15f1f37c1acea1cd76980058c6ad177491823hxxps://raw.githubusercontent.com/k6062019/qq/main/clown.apkf0ee3582856f3f406970530138c06ba3c1c175e9d2dae95e6d3ef3c5ed6dc13ahxxps://raw.githubusercontent.com/k6062019/qq/main/porc.apkb16769c154fbb8023ada13cf58a9b289b9643f6cb932afb4dde0189a147d5e11hxxps://github.com/gohhas/gate/raw/main/live.apkServer Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&CBackup del server Octo C&Ccdf66b98f90a9e83b204bf2bb28915784f9e9ad4d2fb86648d1d1f7d3152daddhxxps://raw.githubusercontent.com/asFirstYouSaid/awdaw/main/Xnode_new.apkhxxps://raw.githubusercontent.com/asFirstYouSaid/test/main/GoogleMaps%20(2)_obf.apk71927786fc16e90fe05e1eb032c3591d878c7cfd197d02113d7d006e2d7b171fhxxps://github.com/asFirstYouSaid/test/raw/main/110.apkhxxps://github.com/asFirstYouSaid/test/raw/main/SecureChat%20(1).apkServer C&C Ermac3194e25f89540e98698bcd221c8a5dbfe4658ac14fd7e7cf7c29299f3675fcddhxxps://github.com/briangreen7667/2705/raw/main/addon2.apk93c5e98c06963c8a320f5876148ad45fb6cce1a40a7aaee195cfa5027e19426bhxxps://github.com/butcher65/test/raw/main/latte.apk9c9bc75ce675754c655b0757a8655ff50186b1626862bcb5b8200c4047f3ab3chxxps://github.com/butcher65/test/raw/main/lolipop.apkad84c798e3c30ad941b37aababeb8edfaf52f13c0c7d32bfa96c4b989b135a8bhxxps://github.com/butcher65/test/raw/main/golgofan.apk7e95e9a306886dadbae68c586bf19eec6903bac15290fd60c47d29a2e3cbf047https://github.com/sherrytho/test/raw/main/golgol.apkaea39ddf59ae764c40211a4d0e9c10514b37a9bbabf5b528de4cb7d2574b732bhxxps://github.com/lotterevich/lott/raw/main/maina.apkServer C&C TeaBot

prodotti sponsorizzati

Notizia & Blog