Noll
Forskare har upptäckt en keylogger phishing kampanj som missbrukar Zoho för att sprida och exfiltrate data från offer enheter.
På tisdag, säkerhet forskare från Cofense sade att Zoho, en web-baserade office suite och e-postleverantör, missbrukas av bedragare och bedragare på en massiv skala.
Den Indiska företagets domän avbröts en kort stund i September, forskarna sade i ett blogginlägg. Detta var på grund av ett “otillräckligt svar” att det som rapporteras som missbruk.
Zoho registrator, TierraNet, tog ner domän, till synes överraskande Zoho med flytten — till den grad att företaget tog till Twitter för att vädja om hjälp för att återgå till service.
CNET: BRITTISKA återförsäljare Superdrug varnar 20,000 kunder möjligt datastöld
Vid tiden för upphävandet, Zoho VD Sridhar Vembu sade:
“Det var totalt 3 klagomål i 2 månader och vi vidtog åtgärder på 2 av dem omedelbart och är en i väntan på utredning. Vi tjänar 40 miljoner användare. 3 klagomål i 2 månader.”
TierraNet är plötsligt blockaden av tjänsten, inte bara negativt Zoho själv, men miljontals kunder i ett svep. Zoho VD beskrivs planer för företaget att “vara en domänregistrator och oss själva” för att förhindra situationen från att hända igen.
Nu återställd, Zoho tjänster är återigen används för keylogger-baserade phishing-kampanjer, Cofense säger.
Mjukvaruplattform e-post adress, service, på båda zoho.com och zoho.eu: s domäner, utnyttjas i 40 procent av phishing-kampanjer som e-post “är den primära exfiltration fordon.”
Andra offer domäner omfattar outlook.com, yandex.com och gmail.com.
“Anledningen till att hotet aktörer överväldigande missbrukar Zoho är oklart, men minimal säkerhet process kronofogden — tillval 2FA (inte tvingande), aktivitet övervakning, etc. — kombinera med användaren mottaglighet för att skapa grogrund,” forskarna säger.
Keyloggers är definierad som malware familjer som har fått möjlighet att övervaka tangenttryckningar och input från Human Interface Devices (HIDs). Malware kan också vara att kunna bedriva urklipp övervakning och skärmdump.
När en nedsatt PC som används av en individ för att komma åt sitt e-postkonto, till exempel, malware är möjligt att spela in tangenterna på ett tangentbord.
Många former av keylogger, inklusive Agent Tesla och Hawkeye, ges bolt-on stealer kapacitet och distribueras som en del av en bredare malware paket eller utnyttja kit. Information äventyras av den skadliga koden kan sedan skickas till malware är kommando-och-kontroll (C2) server, som kontrolleras av en angripare som kan använda data för att få åtkomst till kontot.
TechRepublic: 8 åtgärder att vidta inom 48 timmar av en av databrott
Zoho kan stå för över en tredjedel av de e-postadresser som används, men företaget är inte bara e-tjänsteleverantör som är riktat.
Se även: FBI krafter Apple iPhone X ägaren för att låsa upp enheten genom Face ID
I augusti, Cofense avslöjat förekomsten av en kampanj för att sprida Geodo skadlig kod, en bank Trojan, som belånade stulna inloggningsuppgifter från plattformar, bland annat Gmail, Outlook.com, Yandex och Yahoo.
ZDNet har nått ut till Zoho och kommer att uppdatera om vi hör av sig igen.
Tidigare och relaterade täckning
Att bryta banken säkerhet: Post stöld stiger till nya höjder Facebook riskerar $1.63 miljarder euro böter enligt GDPR över senaste dataintrång Kod sårbarheter som upptäckts i Atlantis Word Processor
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0