Kaspersky onthult evoluerende tactieken van ToddyCat APT-groep in voortdurende cyberspionagecampagnes
In Kaspersky’s nieuwe crimeware-rapport zijn drie schadelijke bedreigingen, die gegevens en geld kunnen stelen, geïdentificeerd en geanalyseerd. De GoPIX stealer die zich richt op het PIX-betalingssysteem, de Lumar multipurpose stealer en de Rhysida ransomware. Nu financieel gemotiveerde cyberdreigingen blijven toenemen, dringen experts er bij gebruikers op aan om waakzaam te blijven.
GoPix
GoPIX, een kwaadaardige campagne die sinds december 2022 actief is, richt zich op het veelgebruikte PIX-betalingssysteem in Brazilië. De strategie begint wanneer gebruikers zoeken naar "WhatsApp web" en worden omgeleid via misleidende advertenties. GoPIX maakt gebruik van de antifraude-tool van IP Quality Score om echte gebruikers van bots te onderscheiden en presenteert twee downloadopties op basis van de status van poort 27275, die is gekoppeld aan Avast Safe Banking-software. De malware, ontworpen om transactiegegevens te stelen en te manipuleren, biedt de flexibiliteit om verschillende stadia uit te voeren en te reageren op commando's van een command-and-control server (C2).
Lumar
Lumar, een opkomende multifunctionele stealer die in juli 2023 werd geïntroduceerd door een gebruiker met de naam "Collector", heeft indrukwekkende mogelijkheden. Denk aan het vastleggen van Telegram-sessies, het verzamelen van wachtwoorden, cookies, autofill-gegevens, het ophalen van bestanden van de desktops van gebruikers en het verzamelen van gegevens uit verschillende cryptografische wallets.
Lumar's compacte formaat, toegeschreven aan C-codering, doet geen afbreuk aan de functionaliteit. Eenmaal uitgevoerd verzamelt Lumar systeeminformatie en gebruikersgegevens en stuurt deze naar de C2. De efficiënte dataverzameling van de malware wordt vergemakkelijkt door het gebruik van drie afzonderlijke threads. De C2, gehost door de maker van de malware als Malware-as-a-Service (MaaS), biedt gebruiksvriendelijke functies zoals statistieken en datalogs. Gebruikers kunnen de nieuwste versie van Lumar downloaden en Telegram-meldingen ontvangen voor binnenkomende gegevens.
Rhysida
Rhysida, een nieuwkomer op het gebied van ransomware, werd in mei ontdekt via Kaspersky's telemetriedata en werkt als een Ransomware-as-a-Service (RaaS). Het valt op door zijn unieke zelfverwijderingsmechanisme en compatibiliteit met Microsoft-versies van voor Windows 10. Rhysida is geschreven in C++ en gecompileerd met MinGW en gedeelde bibliotheken, waardoor het een geraffineerd ontwerp heeft. Hoewel Rhysida relatief nieuw is, had het aanvankelijk te kampen met configuratieproblemen met zijn onion server, wat de snelle aanpassing en leercurve van een groep laat zien.
"Nu financieel gerichte cyberdreigingen toenemen, blijft onze toewijding aan het beschermen van digitale ecosystemen onverminderd. We volgen het veranderende landschap van cyberdreigingen op de voet en ontwikkelen security-oplossingen om aanvallen proactief af te slaan. Om de veiligheid te garanderen, raden we ten zeerste aan om een robuuste cybersecuritystrategie in te voeren die deze bedreigingen efficiënt beperkt," zegt Jornt van der Wiel, senior security-onderzoeker bij Kaspersky's GReAT.
Lees meer
