Mastodawn

📢 Faux torrent du film de Leonardo DiCaprio installe Agent Tesla via des sous-titres piégés
📝 Selon BleepingComputer, un faux torrent du film de Leonardo DiCaprio 'One...
📖 cyberveille : https://cyberveille.ch/posts/2025-12-13-faux-torrent-du-film-de-leonardo-dicaprio-installe-agent-tesla-via-des-sous-titres-pieges/
🌐 source : https://www.bleepingcomputer.com/news/security/fake-one-battle-after-another-torrent-hides-malware-in-subtitles/
#Agent_Tesla #PowerShell #Cyberveille

Faux torrent du film de Leonardo DiCaprio installe Agent Tesla via des sous-titres piégés

Selon BleepingComputer, un faux torrent du film de Leonardo DiCaprio ‘One Battle After Another’ cache des chargeurs PowerShell dans des fichiers de sous-titres, entraînant l’installation du malware Agent Tesla (RAT) sur les appareils infectés. 🎬 Le vecteur d’infection repose sur un torrent frauduleux qui inclut des sous-titres piégés. Ces fichiers déclenchent des chargeurs PowerShell malveillants, utilisés pour déployer la charge utile finale. L’impact décrit est l’infection des systèmes avec Agent Tesla, un RAT (Remote Access Trojan) bien connu, permettant la prise de contrôle et la compromission des dispositifs ciblés. 💻

CyberVeille

Habr Apr 15, 2024

Любовь в каждой атаке: как группировка TA558 заражает жертв вредоносами с помощью стеганографии

Приветствую! И снова в эфир врывается Александр Бадаев из отдела исследования киберугроз PT Expert Security Center . Но на этот раз мы работали в паре с Ксенией Наумовой, специалистом отдела обнаружения вредоносного ПО, недавно рассказывавшей читателям Хабра о трояне SafeRAT . Пришли к вам с новым исследованием о… не самой новой хакерской группировке, но зато использующей уникальнейший метод сокрытия вредоноса да к тому же еще романтически настроенной . Но обо всем по порядку! Итак, мы выявили сотни атак по всему миру с использованием широко известного ПО, среди которого: Agent Tesla , FormBook , Remcos , Lokibot , Guloader , SnakeKeylogger , XWorm , NjRAT , EkipaRAT . Хакеры строили длинные цепочки кибернападений и использовали взломанные легитимные FTP-серверы в качестве С2-серверов, а также SMTP-серверы как С2 и сервисы для фишинга. Злоумышленники активно применяли технику стеганографии : зашивали в картинки и текстовые материалы файлы полезной нагрузки в виде RTF-документов, VBS и PowerShell-скриптов со встроенным эксплойтом. Интересно, что большинство RTF-документов и VBS в изученных атаках имеют, например, такие названия: greatloverstory.vbs , easytolove.vbs , iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc . Все наименования связаны со словом «любовь» , поэтому мы и назвали эту операцию SteganoAmo r. Изучив все детали и существующие исследования, мы атрибутировали атаки: их совершала группировка TA558 . Ранее эксперты Proofpoint писали, что это небольшое сообщество, которое по крайней мере с 2018 года атакует компании с целью кражи денег. В зафиксированных случаях кибернападений группировка целилась в организации разных стран, несмотря на то что приоритетным регионом для нее является Латинская Америка. Полный отчет с детальным разбором всех цепочек атак вы можете прочитать в нашем блоге . Кстати, помните, как один знаменитый вирус наделал в свое время много шуму? Он немного связан с темой нашей статьи. Тому, кто первый ответит, что это за вирус и какие записи в реестре Windows он создавал, традиционный респект от команды PT ESC и подарок. Читать историю любви

https://habr.com/ru/companies/pt/articles/807393/

#расследование #кибергруппировки #вредоносное_по #фишинг #agent_tesla #цепочка_атаки_хакера #ftpсервер #smtpсервер #powershell #конкурс

Любовь в каждой атаке: как группировка TA558 заражает жертв вредоносами с помощью стеганографии

Хабр

🛡 [email protected]/:~#

Mar 19, 2024

Cybercriminals are using #Scalable_Vector_Graphics (#SVG) files to deliver malware because SVG is an XML-based vector image format for two-dimensional graphics that supports interactivity and animation. SVG files can natively contain #JavaScript code, which can be executed by browsers when the SVG is loaded.
They do this by leveraging the #AutoSmuggle tool introduced in May 2022. This tool embeds malicious files into SVG/HTML content, bypassing security measures. Notably, SVG files were exploited to distribute #ransomware in 2015 and the #Ursnif malware in January 2017. A significant advancement occurred in 2022, with malware like #QakBot being delivered through SVG files containing embedded .zip archives. AutoSmuggle campaigns in December 2023 and January 2024 delivered the #XWorm #RAT and #Agent_Tesla #Keylogger, respectively, showcasing a shift towards embedding executable files directly within SVG files to evade detection by Secure Email Gateways (#SEGs). This evolution underscores the need for updated security measures to combat sophisticated malware delivery methods.
The misuse of SVG files for malware distribution dates back to 2015, with ransomware being one of the first to be delivered through this vector.
Original report: Cofense

SVG Files Abused in Emerging Campaigns | Cofense

Learn how threat actors are exploiting the use of SVG files for malware delivery and how to protect your organization from these emerging campaigns.

Cofense