Categoria
Análise de malware
19 October 2024
Tricks and Treats: GHOSTPULSE’s new pixel-level deception
The updated GHOSTPULSE malware has evolved to embed malicious data directly within pixel structures, making it harder to detect and requiring new analysis and detection techniques.
Apostando em bots: investigando malwares, mineração de criptomoedas e abuso de APIs de jogos de azar para Linux
A campanha REF6138 envolveu criptomineração, ataques de DDoS e possível lavagem de dinheiro por meio de APIs de jogos de azar, destacando o uso de malware em evolução e canais de comunicação furtivos pelos atacantes.
Código de conduta: intrusões da RPDC alimentadas por Python em redes seguras
Investigando o uso estratégico do Python e da engenharia social cuidadosamente elaborada pela RPDC, esta publicação esclarece como eles violam redes altamente seguras com ataques cibernéticos eficazes e em evolução.
Além do lamento: desconstruindo o infostealer BANSHEE
O malware BANSHEE é um infostealer baseado em macOS que tem como alvo informações do sistema, dados do navegador e carteiras de criptomoedas.
BITS e Bytes: Analisando BITSLOTH, um backdoor identificado recentemente
O Elastic Security Labs identificou um novo backdoor do Windows aproveitando o Background Intelligent Transfer Service (BITS) para C2. Esse malware foi encontrado durante um grupo de atividades recente rastreado como REF8747.
Mergulhando no Perigo: O backdoor WARMCOOKIE
O Elastic Security Labs observou agentes de ameaças se passando por empresas de recrutamento para implantar um novo backdoor de malware chamado WARMCOOKIE. Este malware tem recursos de backdoor padrão, incluindo captura de tela, execução de malware adicional e leitura/gravação de arquivos.
Ladrões distribuídos globalmente
Este artigo descreve nossa análise das principais famílias de ladrões de malware, revelando suas metodologias de operação, atualizações recentes e configurações. Ao entender o modus operandi de cada família, compreendemos melhor a magnitude do seu impacto e podemos fortalecer nossas defesas adequadamente.
Limpeza de primavera com LATRODECTUS: um possível substituto para o ICEDID
O Elastic Security Labs observou um aumento em um carregador emergente recente conhecido como LATRODECTUS. Este carregador leve tem um grande impacto com os vínculos com o ICEDID e pode se tornar um possível substituto para preencher a lacuna no mercado de carregadores.
Dissecando o REMCOS RAT: Uma análise aprofundada de um malware 2024 generalizado, Parte Quatro
Em artigos anteriores desta série de várias partes, pesquisadores de malware da equipe do Elastic Security Labs decompuseram a estrutura de configuração do REMCOS e deram detalhes sobre seus comandos C2. Nesta parte final, você aprenderá mais sobre como detectar e caçar REMCOS usando tecnologias Elastic.
Dissecando o REMCOS RAT: Uma análise aprofundada de um malware 2024 generalizado, Parte Três
Em artigos anteriores desta série de várias partes, pesquisadores de malware da equipe do Elastic Security Labs se aprofundaram no fluxo de execução do REMCOS. Neste artigo, você aprenderá mais sobre a estrutura de configuração do REMCOS e seus comandos C2.
Dissecando o REMCOS RAT: Uma análise aprofundada de um malware 2024 generalizado, Parte Dois
No artigo anterior desta série sobre o implante REMCOS, compartilhamos informações sobre mecanismos de execução, persistência e evasão de defesa. Dando continuidade a esta série, abordaremos a segunda metade do fluxo de execução e você aprenderá mais sobre os recursos de gravação do REMCOS e a comunicação com seu C2.
Dissecando o REMCOS RAT: Uma análise aprofundada de um malware 2024 generalizado, Parte Um
Este artigo de pesquisa sobre malware descreve o implante REMCOS em alto nível e fornece informações básicas para artigos futuros nesta série de várias partes.
Introdução aos internos de descompilação do Hex-Rays
Nesta publicação, nos aprofundamos no microcódigo Hex-Rays e exploramos técnicas para manipular o CTree gerado para desofuscar e anotar código descompilado.
Ficando pegajoso com o GULOADER: desofuscando o downloader
O Elastic Security Labs analisa as contramedidas de análise do GULOADER atualizadas.
Elástico pega RPDC desmaiando KANDYKORN
O Elastic Security Labs expõe uma tentativa da RPDC de infectar engenheiros de blockchain com um novo malware para macOS.
GHOSTPULSE assombra vítimas usando truques de evasão de defesa
O Elastic Security Labs revela detalhes de uma nova campanha que aproveita recursos de evasão de defesa para infectar vítimas com executáveis MSIX maliciosos.
Revelando o backdoor do BLOODALCHEMY
BLOODALCHEMY é um novo backdoor desenvolvido ativamente que utiliza um binário benigno como um veículo de injeção e faz parte do conjunto de intrusão REF5961.
Dançando a noite toda com gaitas de fole nomeadas - comunicado ao cliente da PIPEDANCE
Nesta publicação, mostraremos a funcionalidade deste aplicativo cliente e como começar a usar a ferramenta.
Apresentando o conjunto de intrusão REF5961
O conjunto de intrusão REF5961 revela três novas famílias de malware que têm como alvo os membros da ASEAN. O agente de ameaças que utiliza esse conjunto de intrusão continua a desenvolver e amadurecer suas capacidades.
Revisitando o BLISTER: Novo desenvolvimento do carregador BLISTER
O Elastic Security Labs se aprofunda na evolução recente da família de malware BLISTER loader.
NAPLISTENENER: mais pesadelos dos desenvolvedores do SIESTAGRAPH
O Elastic Security Labs observa que a ameaça por trás do SIESTAGRAPH mudou as prioridades do roubo de dados para o acesso persistente, implantando novos malwares como o NAPLISTENER para evitar a detecção.
Elastic encanta o SPECTRALVIPER
O Elastic Security Labs descobriu as famílias de malware P8LOADER, POWERSEAL e SPECTRALVIPER que visam o agronegócio nacional vietnamita. REF2754 compartilha malware e elementos motivacionais dos grupos de atividades REF4322 e APT32.
O Elastic Security Labs analisa o rootkit r77
O Elastic Security Labs explora uma campanha que aproveita o rootkit r77 e foi observado implantando o minerador de criptomoedas XMRIG. A pesquisa destaca os diferentes módulos do rootkit e como eles são usados para implantar cargas maliciosas adicionais.
Elastic Security Labs descobre o malware LOBSHOT
O Elastic Security Labs está nomeando uma nova família de malware, LOBSHOT. O LOBSHOT se propaga e se infiltra em redes alvo por meio de anúncios do Google e sessões hVNC para implantar backdoors disfarçados de instaladores de aplicativos legítimos.
Usuários elásticos protegidos contra ataque à cadeia de suprimentos da SUDDENICON
O Elastic Security Labs está lançando uma análise de triagem para auxiliar os clientes da 3CX na detecção inicial do SUDDENICON, um possível comprometimento da cadeia de suprimentos que afeta os usuários do softphone VOIP da 3CX.
Carregador BLISTER
O carregador BLISTER continua sendo usado ativamente para carregar uma variedade de malware.
Cadeia de ataque leva a XWORM e AGENTTESLA
Nossa equipe observou recentemente uma nova campanha de malware que emprega um processo bem desenvolvido com vários estágios. A campanha foi criada para enganar usuários desavisados e fazê-los clicar nos documentos, que parecem ser legítimos.
Não dormir mais: o chamado para despertar do SOMNIRECORD
Pesquisadores do Elastic Security Labs identificaram uma nova família de malware escrita em C++ à qual nos referimos como SOMNIRECORD. Esse malware funciona como um backdoor e se comunica com comando e controle (C2) enquanto se disfarça de DNS.
Descongelamento do permafrost do ICEDID Resumo
O Elastic Security Labs analisou uma variante recente do ICEDID que consiste em um carregador e uma carga útil de bot. Ao fornecer esta pesquisa à comunidade de ponta a ponta, esperamos aumentar a conscientização sobre a cadeia de execução, as capacidades e o design do ICEDID.
Duas vezes na pista de dança - Elastic descobre o backdoor do PIPEDANCE
O Elastic Security Labs está rastreando uma intrusão ativa em uma organização vietnamita usando um backdoor multi-hop acionável descoberto recentemente que estamos chamando de PIPEDANCE. Este malware completo permite operações furtivas por meio do uso de nomes
CUBA Ransomware Malware Analysis (Análise de malware do ransomware CUBA)
A Elastic Security realizou uma análise técnica profunda da família de ransomware CUBA. Isso inclui recursos de malware, bem como contramedidas defensivas.
QBOT Malware Analysis (Análise de malware do QBOT)
O Elastic Security Labs divulga um relatório de análise de malware QBOT cobrindo a cadeia de execução. A partir dessa pesquisa, a equipe produziu uma regra YARA, um extrator de configuração e indicadores de comprometimento (IOCs).
Explorando o conjunto de intrusão REF2731
A equipe do Elastic Security Labs vem monitorando o REF2731, um conjunto de intrusão de 5 estágios envolvendo o carregador PARALLAX e o NETWIRE RAT.
Análise de malware BUGHATCH
A Elastic Security realizou uma análise técnica profunda do malware BUGHATCH. Isso inclui capacidades e também contramedidas defensivas.
Elastic protege contra malware de limpeza de dados direcionado à Ucrânia: HERMETICWIPER
Análise do malware HERMETICWIPER que tem como alvo organizações ucranianas.
De uma ponta a outra — escalando a pirâmide com o implante Deimos
O implante Deimos foi relatado pela primeira vez em 2020 e está em desenvolvimento ativo; empregando contramedidas de análise avançadas para frustrar a análise. Esta postagem detalha os TTPs da campanha por meio dos indicadores de malware.