תוכנת כופר Ygvb

תוכנת הכופר של Ygvb היא יצירה נוספת של פושעי סייבר שמחפשים כסף קל על ידי הצפנת קבצים חיוניים בשיטת הצפנה בלתי שבירה ובקשת כופר כדי לספק כביכול את אמצעי הפענוח, וזו הבטחה מפוקפקת מכיוון שהם יכולים פשוט לקבל את הכסף ולהיעלם. תוכנת הכופר של Ygvb היא חבר נוסף ב- משפחת STOP/Djvu Ransomware . כדי להשיג את מטרתה, Ygvb Ransomware מוסיפה הרחבה חדשה לקבצים שהיא מדביקה, 'ygvb', ומפתח ייחודי לכל משתמש נגוע. ברגע שהצפנת הקבצים הושלמה, תוכנת הכופר של Ygvb יוצרת את הודעת הכופר שלה בקובץ בשם '_readme.txt' וכוללת אותה בכל תיקיה המכילה את הקבצים המוצפנים. מפתחי Ygvb Ransomware מבקשים כופר של 980$, שניתן להוזיל ל-490$ ויש לשלם בביטקוין. תוכנת הכופר של Ygvb מוחקת את Shadow Volume Copies, מה שמקשה עוד יותר על שחזור הנתונים, ומצרפת רשימת דומיינים לקובץ Hosts...

פורסם ב-April 19, 2022 ב-Ransomware

Nuhb Ransomware

אם ה-Nuhb Ransomwe ימצא את דרכו למחשב שלך, לא תוכל לפתוח את הקבצים שלך, מכיוון שהמטרה של איום תוכנות זדוניות זה היא להצפין אותם, מה שהופך אותם לבלתי שמישים כך שהוא יוכל לבקש כופר. קל מאוד לקורבן לזהות את הקבצים המוצפנים מכיוון ש-Nuhb Ransomware תוסיף להם את סיומת הקובץ '.nuhb'. תוכנת הכופר Nuhb סווגה כחבר אחד נוסף במשפחת ה- Stop/Djvu Ransomware thr4atening. כמו כמעט כל איומי כופר, תוכנת הכופר של Nuhb תיצור פתק כופר, שיופיע על שולחן העבודה של הקורבן כקובץ בשם ' _readme.txt'. על הפתק, הקורבנות ימצאו את ההוראות שיש לבצע במקרה שהם מוכנים לשלם את הכופר כדי לשחזר את הקבצים המוצפנים שלהם. ההערה מספקת שתי כתובות דוא"ל שיש להשתמש בהן כדי ליצור קשר עם התוקפים, support@sysmail.ch ו-helprestoremanager@airmail.cc. להלן, תמצא את התוכן של פתק הכופר...

פורסם ב-April 19, 2022 ב-Ransomware

SearchHDConverter

SearchHDConverter הוא תוסף דפדפן שמקודם ומופץ באמצעות אתרי אינטרנט מטעים ואמצעים סמויים אחרים. ההסתמכות על שיטות מפוקפקות כאלה מסווגת את SearchHDConverter כ-PUP (תוכנית לא רצויה בפוטנציה). יתר על כן, לא משנה אילו תכונות ופונקציות האפליקציה עשויה לטעון שיש לה, המטרה העיקרית שלה היא להשתלט על דפדפני האינטרנט של המשתמשים ולגרום להפניות לא רצויות. אכן, SearchHDConverter הוא חוטף דפדפן פולשני נוסף. דפדפני אינטרנט המושפעים מהיישום יחליפו את דף הבית הנוכחי שלהם, דף הכרטיסייה החדשה ומנוע החיפוש המוגדר כברירת מחדל בכתובת searchhdconverter.com. כפי שקורה בדרך כלל כאשר מעורבים חוטפי דפדפן, הדף המקודם שייך למנוע חיפוש מזויף. במקרה זה, החיפושים שיופנו מחדש ל-searchhdconverter.com ינותבו הלאה למנוע הלגיטימי של search.yahoo.com או למנוע המפוקפק...

פורסם ב-April 18, 2022 ב-Browser Hijackers, Potentially Unwanted Programs

Webpushpull.com

מפעילי מתיחה ממשיכים לשחרר עוד ועוד אתרים מפוקפקים שנועדו להערים על משתמשים. Webpushpull.com הוא בדיוק עמוד כזה. הוא מסתמך על קליקבייט וטקטיקות מניפולטיביות כדי להסוות את כוונותיו האמיתיות תוך כדי לפתות משתמשים ללחוץ על כפתור 'אפשר' המוצג. זה הרגע המרכזי של כל הטקטיקה. העמוד מנסה ליצור השלכות שווא שונות לגבי מה שתעשה לחיצה על הכפתור במקום לציין בבירור שהיא תאפשר את שירותי ה-Push Notification של העמוד. אחד התרחישים המטעים המופעלים על ידי Webpushpull.com סובב סביב יצירת הרושם שמשתמשים חייבים לעבור בדיקת CAPTCHA לפני שהם יכולים לגשת לתוכן כביכול באתר. למשתמשים תוצג תמונה המתארת רובוט מבולבל לצד הודעה הדומה ל: ' לחץ על 'אפשר' אם אינך רובוט ' אם המשתמשים ילחצו על הכפתור, סביר להניח שהם ימצאו את עצמם בצד הקולט של מסע פרסום מעצבן. הפרסומות...

פורסם ב-April 18, 2022 ב-Browser Hijackers, Rogue Websites

Window-safe.com

Windows-safe.com הוא אתר לא אמין שנראה כאילו נוצר במטרה היחידה לספק תוכן מפוקפק ולהפעיל טקטיקות מקוונות. ההתנהגות המדויקת של הדף עשויה להשתנות, בהתאם לגורמים מסוימים, כגון כתובת ה-IP והמיקום הגיאוגרפי של המבקר. המשמעות היא שמשתמשים הנוחתים בדף עשויים להופיע בפני גרסאות טקטיקה שונות. אחת האפשרויות שאושרו היא גרסה של התוכנית המכונה 'ביקרת באתר נגוע לא חוקי'. זה כולל הצגת למשתמשים כמה התראות אבטחה מזויפות לחלוטין שמוצגות כמגיעות ממקור מכובד, כמו McAfee. כמובן שלחברה יש אפס קשר לעמוד המפוקפק ושמה משמש אך ורק להכרת המותג שלה. משתמשים גם יתבקשו להתחיל סריקה לאיומים על ידי לחיצה על כפתור 'סריקה' המוצג. זוהי טקטיקה נפוצה, אך על המשתמשים לזכור שאף אתר לא יכול לבצע פונקציה כזו. ואכן, כל התוצאות המוצגות כמופקות על ידי ה'סריקה' כביכול מפוברקות...

פורסם ב-April 18, 2022 ב-Rogue Websites

Ust29 Ransomware

חוקרי אבטחת סייבר מצאו גרסה נוספת של Dharma Ransomware שמשתחררת בטבע. האיום זכה לשם Ust29 Ransomware, ומטרתו היא לחדור למחשבים ממוקדים ולנעול את הנתונים המאוחסנים שם. סוגי קבצים רבים, כגון מסמכים, קובצי PDF, אודיו ווידאו, מסדי נתונים, ארכיונים ועוד, יהפכו לבלתי שמישים לחלוטין. בנוסף, שמו המקורי של כל קובץ מוצפן ישונה במידה משמעותית. הקורבנות ישימו לב שכמעט כל הקבצים שלהם כוללים כעת מחרוזת תווים לא מוכרת וכתובת אימייל שנוספה לשמותיהם. המחרוזת פועלת בתור המזהה שהוקצה לקורבן הספציפי, בעוד שהמייל - 'ust29@aol.com' נועד לשמש כדרך ליצור קשר עם התוקפים. לבסוף, האיום יוסיף את '.ust29' בתור סיומת קובץ חדשה. הקורבנות יישארו עם שני שטרות כופר. ההודעה הראשית הדורשת כופר תוצג בחלון מוקפץ, בעוד שהודעה קצרה בהרבה תושמט על המערכת כקובץ טקסט 'FILES...

פורסם ב-April 18, 2022 ב-Ransomware

OnlyFans Ransomware

תוכנת הכופר OnlyFans היא איום שמנסה לסחוט כסף מקורבנותיו במה שנראה כתוכנית כופר. עם זאת, לאחר ניתוח האיום, חוקרי infosec גילו ש-OnlyFans מסתמכת בעיקר על תחבולות והונאה והיא רק מחקה את הפעילויות הקשורות לאיומי תוכנות כופר. ואכן, OnlyFans Ransomware אינה מסוגלת להצפין את הנתונים של הקורבן שלה, מכיוון שהיא אינה מכילה שגרת הצפנה כחלק מהקוד שלה. במקום זאת, OnlyFans יציג פתק כופר ארוך המשלב את ההיבטים האופייניים של הודעה הדורשת כופר עם ההפחדות הכוזבות שנמצאו בפעולות הונאה באימייל. ההודעה שהשאירו התוקפים מציינת כי הקורבן נמצא מנסה להוריד באופן בלתי חוקי חומרים ותכנים פורנוגרפיים המוגנים בזכויות יוצרים מפלטפורמת OnlyFans. כדי להימנע מביקור של ה-FBI, משתמשים מושפעים מקבלים הוראה לשלם כופר בביטקוין. באותה מידה שקריות, הן הטענות הבאות לפיהן הקבצים...

פורסם ב-April 18, 2022 ב-Malware, Ransomware

Fodcha Botnet

רשת בוט חדשה בשם Fodcha צומחת במהירות, על ידי שילוב מכשירים פגיעים בצבא הבוטים שלה. מפעילי הבוטנט השתמשו בו כדי להשיק התקפות DDoS (Distributed Denial-of-Service) נגד יותר ממאה קורבנות בכל יום. פעילויות האיום זוהו על ידי החוקרים במעבדת המחקר לאבטחת רשתות של Qihoo 360 (360 Netlab) ולפי הערכותיהם, Fodcha התפשטה ליותר מ-62,000 מכשירים לתקופה שבין 29 במרץ ל-10 באפריל 2022. Fodcha מסתמכת על נקודות תורפה של יום N, כמו גם על טקטיקות של כוח גס כדי לסכן את המכשירים הממוקדים שלה, הכוללים נתבים, DVRs ושרתים. ליתר דיוק, חלק מהדגמים שהבוטנט מכוון אליהם הם Realtek Jungle SDK, MVPower DVR, LILIN DVR, TOTOLINK, נתבי ZHONE ואחרים. הארכיטקטורות הממוקדות כוללות MIPS, MPSL, ARM, x86 ועוד. עבור ניסיונות הכוח האכזרי שלה, Fodcha משתמש בכלי פיצוח המכונה...

פורסם ב-April 18, 2022 ב-Botnets

TinyFluff Backdoor

ארגון פושעי הסייבר שאחריו עוקבים חוקרי infosec כ-OldGremlin חוזר לתנועה. שחקן האיום הספציפי הזה מעדיף לשכב ולבצע רק כמה קמפיינים מאיימים לפני שהוא נכנס שוב לתרדמה. ובכל זאת, הקבוצה מתוחכמת ביותר וההתקפות שלה מתוכננות בקפידה, מבוצעות וסגורות. בין המאפיינים הבולטים של OldGremlin הם העובדה שהקורבנות שלה הם תמיד עסקים רוסים והיא משתמשת באיומי דלת אחורית בהתאמה אישית כדי לספק את עומסי הכופר הסופיים שלה. יצוין כי במקרה אחד שאושר, הקבוצה ביקשה מקורבנותיה כופר של 3 מיליון דולר, מה שיכול להסביר את חוסר הדחיפות להיות פעילים כל הזמן. פרטי דלת אחורית הפעולות האחרונות של OldGremlin כוללות שתי התקפות פישינג המספקות איום חדש בדלת אחורית בשם TinyFLuff Backdoor. נראה כי TinyFluff הוא גרסה שונה ומעודכנת של איום ישן יותר בדלת אחורית של OldGremlin , המלווה...

פורסם ב-April 18, 2022 ב-Advanced Persistent Threat (APT), Backdoors

ZingoStealer

ZingoStealer הוא תוספת חדשה ומאיימת לכלים של קבוצת ההאקרים הידועה בשם חבורת האסקרים. דו"ח על האיום פורסם על ידי החוקרים, ולפי ממצאיהם, ZingoStealer מצויד במערך נרחב של תכונות חודרניות. האיום נמצא בפיתוח מהיר ובתוך חודש בלבד לאחר חשיפתו, זוהו מספר גרסאות שונות. מלבד הגרסה החינמית הזמינה לחברי Haskers Gang, יש גם שכבת מנויים במחיר של 300 רובל (3$). הגרסה בתשלום מגיעה מצוידת במכשיר בשם ExoCrypt. התוכנה הזדונית מסוגלת לאסוף אישורי חשבון, נתוני דפדפן מ-Chrome ו-Firefox, אסימוני Discord ונתונים רגישים יותר. ZingoStealer נועד גם להתפשר על הרחבות דפדפן השייכות לשירותי מטבעות קריפטוגרפיים פופולריים, כגון BitApp, Coinbase, Binance ו-Brave ולחלץ את אישורי ארנק ההצפנה של המשתמשים. בהתאם למטרות הספציפיות של גורמי האיום, ZingoStealer יכול לפעול יחד עם...

פורסם ב-April 18, 2022 ב-Stealers

Hacker Outfit Haskers Group מוציאה את ZingoStealer

צילום מסך Hacker Outfit Haskers Group מוציאה את ZingoStealer

תלבושת פושעי הסייבר המוכרת על ידי קבוצת Haskers הכינוי פרסמה תוכנה זדונית חדשה לגמרי. הכלי הרב-תכליתי החדש ששוחרר על ידי Haskers נקרא ZingoStealer. כרגע, ZingoStealer מוצע בחינם לכל חברי קבוצת Haskers Telegram, אבל זה עשוי להשתנות אם פונקציונליות נוספת תתווסף לתוכנה הזדונית. גניבת מידע חינם מוצעת דרך טלגרם בניגוד לתלבושות האקרים מסורתיות יותר, Haskers היא קבוצה מבוזרת יותר עם קהל עוקבים גדול יותר. למרות שלקבוצה יש כמה חברי ליבה מייסדים, כל הגוף של Haskers מורכב ממאות, כנראה אפילו אלפי חברים פעילים, בהתחשב במספר החשבונות הרשומים לקבוצת טלגרם. כמובן, לא כולם עוסקים באופן פעיל במבצעי פשעי סייבר במשרה מלאה, כאשר רבים מהם מעורבים בצורה סתמית יותר. כאשר בחנו את העבודה האחרונה של הקבוצה, סיסקו...

פורסם ב-April 15, 2022 ב-Computer Security

News-duboma.cc

News-duboma.cc אינו אתר שסביר להניח שמשתמשים יפתחו מרצון. אחרי הכל, הם לא ימצאו בו תוכן שימושי, כי זה פשוט לא אחד מהעדיפויות של העמוד. במקום זאת, האתר קיים אך ורק כדי שיוכל לפתות משתמשים להירשם לשירותי ה-Push Notification שלו בעזרת הנדסה חברתית וטקטיקות קליקבייט שונות. התרחיש המדויק שיוצג למשתמשים עשוי להשתנות בהתאם לגורמים מסוימים כגון כתובת ה-IP שלהם, סוג הדפדפן והמיקום הגיאוגרפי שלהם. ובכל זאת, אפשרות אחת שאושרה על ידי חוקרי infosec כוללת את הדף הטוען כי לחיצה על כפתור 'אפשר' תעניק למשתמשים גישה לסרטון וידאו. כמובן, הפונקציונליות של הכפתור אינה קשורה לחלוטין להודעה המוצגת. משתמשים שילחצו על הכפתור יקנו הרשאות דפדפן חיוניות ל-News-duboma.cc שיאפשרו לדף להתחיל להפעיל קמפיין פרסומי לא רצוי. סביר להניח שהפרסומות שנוצרו ישמשו כחומרי קידום...

פורסם ב-April 15, 2022 ב-Browser Hijackers, Rogue Websites

Searchpoweronline.com

חלק מהמשתמשים עשויים להבחין לפתע שהדפדפנים שלהם החלו להפנות לכתובת לא מוכרת ב-Searchpoweronline.com. התנהגות כזו היא לרוב תוצאה של קיים חוטף דפדפן במחשבים. ה-PUPs הפולשניים הללו (תוכנות לא רצויות בפוטנציה) מסתמכים במידה רבה על טקטיקות מפוקפקות כמו חבילות תוכנה ומתקינים מזויפים לצורך הפצתן. כתוצאה מכך, משתמשים רבים אינם מבינים שהם הסכימו להתקין יישומים כאלה במערכות שלהם. עם זאת, לאחר פריסה מלאה, חוטף הדפדפן יבסס שליטה על הדפדפנים המותקנים ויתחיל לשנות מספר הגדרות חשובות. לרוב, דף הבית, דף הכרטיסייה החדשה ומנוע החיפוש המוגדר כברירת מחדל יוחלפו בכתובת מקודמת, כגון searchpoweronline.com. לאחר מכן, בכל פעם שהדפדפן המושפע מופעל, כרטיסייה חדשה מופעלת, או שמשתמשים מנסים ליזום חיפוש דרך שורת ה-URL, תופעל הפניה מחדש לדף המקודם. חשוב לזכור שחוטפי...

פורסם ב-April 15, 2022 ב-Browser Hijackers, Potentially Unwanted Programs

Star-search.xyz

ה-Star-search.xyz נקשר לפעילויות של חוטפי דפדפן פולשניים ו-PUPs (תוכניות לא רצויות בפוטנציה). יישומים מעצבנים אלו ארוזים לרוב לצד מוצרי תוכנה נחשקים יותר בטקטיקה המכונה חבילות תוכנה. הם גם עלולים להתפשט באמצעות מתקנים/עדכונים מזויפים. המטרה היא לחדור למחשב המשתמש מבלי למשוך תשומת לב. עם זאת, ההשלכות של חוטף דפדפן במכשיר יתבררו כמעט מיד. המשתמשים ישימו לב שדפדפני האינטרנט שלהם אינם מתנהגים עוד כרגיל. במקום זאת, הפניות שונות לא רצויות לכתובות לא מוכרות, כגון star-search.xyz, יתחילו להתרחש. אחרי הכל, הרוב המכריע של חוטפי הדפדפן ישנו את דף הבית של הדפדפן, את דף הכרטיסייה החדשה ואת מנוע החיפוש המוגדר כברירת מחדל. הדף המקודם עשוי להיות שייך למנוע חיפוש מזויף. מנועים כאלה לא מתוכננים לייצר תוצאות בעצמם. במקום זאת, שאילתות החיפוש שהוזנו יופנו...

פורסם ב-April 15, 2022 ב-Browser Hijackers, Potentially Unwanted Programs

Defender-scan.xyz

Defender-scan.xyz הוא אתר לא אמין שמשתמש בשיטות הפחדה שונות כדי לשכנע משתמשים להתקין מוצר תוכנה מקודם או לקנות מנוי עבור אחד. ההתנהגות המדויקת של הדף עשויה להשתנות על סמך שילוב של גורמים, כגון כתובת ה-IP של המבקר, מיקום גיאוגרפי ועוד. טקטיקה אחת שאושרה שהופצה על ידי Defender-scan.xyz היא 'המחשב שלך נגוע ב-5 וירוסים!' כחלק מהפעילויות המטעות שלו, הדף יפיק מספר חלונות קופצים מלאים בהתראות שווא ואזהרות אבטחה. העמוד המפוקפק אפילו יעמיד פנים שהוא מריץ סריקת תוכנות זדוניות למרות העובדה שאף אתר לא יכול לבצע פונקציות כאלה בעצמו. תמיד, הסריקה כביכול תזהה 5 איומי תוכנות זדוניות במכשיר של המשתמש. בדרך כלל, אתרים המריצים תכנית זו יציגו באופן בולט את השם, הלוגו וסכימת הממשק של ספק אבטחה בעל מוניטין. Defender-scan.xyz גם עוקבת אחר המודל הזה, שכן היא...

פורסם ב-April 15, 2022 ב-תוכנות פרסום, Rogue Websites