بازیگران تهدید معروف به CoralRaider از شبکه تحویل محتوای Bynny ( CDN ) برای توزیع دزدهای اطلاعاتی بین قربانیان در سراسر جهان استفاده می‌کنند.

محققان سیسکو تالو فاش کرده‌اند که چه کسی گفته است که CoralRaider از CDN سوء استفاده کرده تا از راه‌حل‌های امنیتی پنهان بماند، زیرا LummaC2، Rhadamanthys و Cryptobot را تحویل داده‌اند.

CoralRaider یک عامل تهدید با انگیزه مالی است که نقاط پایانی را در ایالات متحده، بریتانیا، آلمان و ژاپن هدف قرار می دهد. این در خارج از ویتنام مستقر است و معمولا دستگاه هایی را در آسیا و جنوب شرقی آسیا هدف قرار می دهد. با این حال، اخیراً، این گروه ظاهراً عملیات خود را برای هدف قرار دادن قربانیان در ایالات متحده، نیجریه، پاکستان، اکوادور، آلمان، مصر، بریتانیا، لهستان، فیلیپین، نروژ، ژاپن، سوریه و ترکیه گسترش داده است. فعالیت های این گروه برای اولین بار در سال 2003 مشاهده شد، اضافه شد.

ظاهرا، این گروه (به احتمال زیاد) ایمیل های فیشینگ را با یک آرشیو پیوست ارسال می کند. این بایگانی حاوی یک لینک میانبر مخرب ویندوز (.LNK) است که به نوبه خود دارای یک فرمان PowerShell است که یک برنامه HTML "به شدت مبهم" را دانلود و اجرا می کند. این برنامه در یک زیر دامنه Bynny تحت کنترل مهاجمان یافت شد.

سرقت اطلاعات ورود به سیستم

این برنامه با کد جاوا اسکریپت برای یک اسکریپت رمزگشای PowerShell ارائه می شود که برخی از ویژگی های امنیتی را خاموش می کند و در نهایت یکی از سه دزد اطلاعاتی ذکر شده در بالا را مستقر می کند.

سیسکو تالوس در توضیح بیشتر این تهدید بيان کرد که دزدهای اطلاعاتی در حال توزیع نسبتاً جدید هستند. LummaC2 و Rhadamanthys هر کدام دارای ویژگی هایی هستند که ظاهراً سال گذشته اضافه شده اند، در حالی که Cryptobot تاریخ ژانویه امسال را دارد.

طبق گفته BleepingComputer ، Cryptobot به اندازه LummaC2 یا Rhadamanthys محبوب نیست، اما همچنان خطرناک است، زیرا بیش از نیم میلیون دستگاه را در سال آلوده می کند.

اکثر دزدهای اطلاعات امروزی به دنبال همان اطلاعات هستند: اعتبارنامه ورود به سرویس های مختلف، احراز هویت چند عاملی (MFA) و رمزهای عبور یک بار مصرف، داده های کیف پول ارزهای دیجیتال، اطلاعات بانکی و غیره.

بیشتر از TechRadar Pro