Hakeri često napadaju korisnike koji pretražuju aplikaciju Meta Quest zbog toga što su voljni da je instaliraju i preuzmu što je prije moguće, što ih izlaže preuzimanju štetnih verzija.
Nedavno su eSentire-ovi 24/7 sigurnosni operativni centri (SOC) kojima upravljaju Elite Threat Hunters i Cyber analitičari koji brzo identifikuju, istražuju i odgovaraju na prijetnje otkrili novi adver koji napada korisnike koji traže aplikaciju Meta Quest za Windows.
Ova grupa je otkrila značajne napade, uključujući proboj Kaseya MSP-a i zlonamjerni softver more_eggs.
Adware napadi u potrazi za Meta Quest
Osim toga, njihove SOC-ove podržava Jedinica za odgovor na prijetnje (TRU), koja pruža obavještajne podatke o prijetnjama, taktički odgovor na prijetnje i naprednu analitiku prijetnji.
TRU Pozitivne izvještaje izdaje TRU tim koji dijeli sinopse nedavnih istraga prijetnji koje otkrivaju nove izazove sajber sigurnosti.
U junu 2024., eSentire Threat Response Unit otkrio je AdsExhaust, reklamni softver prerušen kao instalacijski softver za Oculus.
Ovaj zlonamjerni softver krade snimke ekrana od korisnika interneta i manipuliše njihovim aktivnostima pretraživanja kako bi ostvario prihod putem oglašavanja.
Lanac zaraze počinje preuzimanjem ZIP datoteke koja sadrži skupove skripte koje dohvaćaju dodatne zlonamjerne komponente i uspostavljaju zakazane zadatke radi postojanosti.
PowerShell skripta se ponavlja, dobija podatke o sistemu, pravi snimke ekrana i prenosi informacije na C2 server.
Dobro razvijene tehnike postojanosti i kapaciteti za izvoz podataka advera naglašavaju dinamičku prirodu neugroženih preuzimanja uobičajenih programa.
AdsExhaust reklamni softver kreiran je pomoću zlonamjernog PowerShell korisnog opterećenja koji koristi mutex kako bi osigurao da se samo jedna instanca zlonamjernog softvera pokrene i da cilja Microsoft Edge.
U stanju mirovanja, simulira interakciju korisnika s oglasima ubrizgavanjem klikova, otvaranjem kartica i navigacijom do ugrađenih URL-ova. Ovaj adver pravi snimke ekrana i prekriva ih kako bi se sakrio.
Kada se otkriju otvoreni oglasi, oni stupaju u interakciju sa „Sponzorisanim“ sadržajem na stranicama kako bi generisali lažni prihod od oglašavanja. Osim toga, AdsExhaust koristi Google pretraživanja za preuzimanje ključnih riječi sa udaljenog servera.
Ovaj visoko napredni adver koristi različite metodologije kao što su C2 komunikacija, simulacija pritiska na tipku i manipulacija ekranom kako bi izbjegao otkrivanje dok neovlašteno zarađuje novac putem vještačkog angažiranja oglasa.
Preporuke
- Uvedite EDR rješenja na sve uređaje.
- Implementirajte obuku o krađi identiteta i sigurnosti (PSAT).
- Promijenite zadane postavke ‘open-with’ za datoteke skripte u uređivače teksta
Izvor: CyberSecurityNews