Le nouveau Web Skimmer forge intelligemment la page PayPal
Un nouveau skimmer Web a été découvert sur le Web qui non seulement vole les commentaires des clients, mais l'utilise également pour remplir un faux formulaire de paiement PayPal pour le rendre plus convaincant. Le script malveillant est placé dans une image stockée sur le serveur du magasin compromis à l'aide de la stéganographie. Pour collecter les détails de paiement, le skimmer remplace la page PayPal en chargeant un faux via iFrame, pré-rempli avec les données du bon de commande. Le vol des données de paiement se produit lorsque la victime entre tous les détails sous un faux formulaire et clique sur le bouton de confirmation de paiement.
Serveurs Oracle WebLogic attaqués par le botnet DarkIRC
Les chercheurs de Juniper Threat Labs ont signalé des attaques de botnet DarkIRC sur des serveurs Oracle WebLogic via une vulnérabilité d'exécution de code à distance ( CVE-2020-14882 ). Les logiciels malveillants sont fournis via des scripts PowerShell via des requêtes HTTP GET. La charge utile est représentée sous forme de code binaire avec des fonctionnalités permettant de parcourir les outils d'analyse et les sandbox. DarkIRC a une grande liste de fonctions dans son arsenal: keylogging, téléchargement de fichiers et exécution de commandes, vol d'informations d'identification, distribution via MSSQL et RDP (force brute), SMB ou USB, ainsi que le lancement de plusieurs types d'attaques DDoS.
Le nouveau module TrickBot recherche les vulnérabilités dans l'UEFI
Des spécialistes d'AdvIntel (Advanced Intelligence) et d'Eclypsium ont publié un rapport sur le nouveau module botnet TrickBot qui recherche les vulnérabilités dans le firmware UEFI d'un appareil infecté. L'accès au micrologiciel UEFI donne à un attaquant la possibilité d'obtenir la persistance du malware sur un appareil compromis en cas de réinstallation du système d'exploitation ou de remplacement de disques. Le module vérifie l'activité de protection en écriture UEFI / BIOS à l'aide du pilote RwDrv.sys.