
Novo Web Skimmer habilmente cria página do PayPal
Um novo skimmer da web foi descoberto na web que não apenas rouba a opinião do cliente, mas também o usa para preencher um formulário de pagamento falso do PayPal para torná-lo mais convincente. O script malicioso é colocado dentro de uma imagem que é armazenada no servidor da loja comprometida usando esteganografia. Para coletar detalhes de pagamento, o skimmer substitui a página do PayPal carregando um falso via iFrame, pré-preenchido com os dados do formulário de pedido. O roubo dos dados de pagamento ocorre quando a vítima insere todos os detalhes em um formulário falso e clica no botão de confirmação do pagamento.
Servidores Oracle WebLogic atacados pelo botnet DarkIRC
Os pesquisadores da Juniper Threat Labs relataram ataques de botnet DarkIRC em servidores Oracle WebLogic por meio de uma vulnerabilidade de execução remota de código ( CVE-2020-14882 ). O malware é entregue por meio de scripts do PowerShell por meio de solicitações HTTP GET. A carga útil é representada como código binário com funcionalidade para percorrer ferramentas de análise e sandboxes. DarkIRC possui uma grande lista de funções em seu arsenal: keylogging, download de arquivos e execução de comandos, roubo de credenciais, distribuição via MSSQL e RDP (força bruta), SMB ou USB, além de lançar diversos tipos de ataques DDoS.
Novo módulo TrickBot procura vulnerabilidades na UEFI
Especialistas da Advanced Intelligence (AdvIntel) e Eclypsium publicaram um relatório sobre o novo módulo de botnet TrickBot que procura vulnerabilidades no firmware UEFI de um dispositivo infectado. Ter acesso ao firmware UEFI dá ao invasor a oportunidade de conseguir a persistência de malware em um dispositivo comprometido em casos de reinstalação do sistema operacional ou substituição de unidades. O módulo verifica a atividade de proteção contra gravação UEFI / BIOS usando o driver RwDrv.sys.