Хакери използват злонамерен софтуер за фишинг на Facebook, за да откраднат крипто идентификационни данни, предупреждава Trustwave SpiderLabs Report
Накратко
Trustwave SpiderLabs откри зловреден софтуер Ov3r_Stealer за кражба на крипто идентификационни данни, което подчертава нарастването на заплахите за крипто сигурността.
Компания за киберсигурност Trustwave SpiderLabs откри а нов зловреден софтуер наречен Ov3r_Stealer по време на разследване на кампания за разширено непрекъснато търсене на заплахи (ACTH) в началото на декември 2023 г.
Ov3r_Stealer е създаден от злонамерени участници и е проектиран с престъпна цел да открадне чувствителни идентификационни данни и портфейли за криптовалута от нищо неподозиращите жертви и да ги изпрати до канал на Telegram, наблюдаван от заплахата.
Първоначалният вектор на атака беше проследен до измамна Facebook обява за работа, маскирана като възможност за позиция на акаунт мениджър. Заинтригувани лица, без да подозират за надвисналата заплаха, бяха подмамени да кликнат върху връзки, вградени в рекламата, пренасочвайки ги към злонамерен URL адрес за доставка на съдържание на Discord.
„За да бъде реализиран векторът на първоначалната атака Malvertisement в средата на жертвата, потребителят трябва да кликне върху връзката, предоставена в рекламата. Оттам те ще бъдат пренасочени чрез услуга за съкращаване на URL адреси към CDN. CDN, наблюдаван в случаите, които наблюдавахме, беше cdn.discordapp.com“, каза Грег Монсън, мениджър на екипа за разузнаване на кибер заплахи на Trustwave SpiderLabs Metaverse Post.
„Оттам жертвата може да бъде подмамена да изтегли полезния товар на Ov3r_Stealer. Веднъж изтеглен, той ще извлече следващия полезен товар като файл на контролния панел на Windows (.CPL). В наблюдавания случай файлът .CPL се свързва с хранилище на GitHub чрез скрипт на PowerShell, за да изтегли допълнителни злонамерени файлове“, добави Монсън.
Важно е да се отбележи, че зареждането на зловреден софтуер в системата включва HTML Smuggling, SVG Smuggling и маскиране на LNK файлове. След като бъде изпълнен, злонамереният софтуер създава механизъм за устойчивост чрез планирана задача и се изпълнява на всеки 90 секунди.
Нарастващите киберзаплахи налагат бързи проактивни мерки за сигурност
Тези зловреден софтуер ексфилтрират чувствителни данни като геолокация, пароли, данни за кредитни карти и други към канал на Telegram, наблюдаван от участници в заплахи, подчертавайки развиващия се пейзаж на кибер заплахи и значението на проактивните мерки за киберсигурност.
„Въпреки че не сме наясно с намеренията, които заплахата имаше зад събирането на информацията, открадната чрез този злонамерен софтуер, видяхме подобна информация да се продава на различни форуми в тъмната мрежа. Идентификационните данни, закупени и продадени на тези платформи, могат да бъдат потенциален вектор за достъп за групи за рансъмуер за извършване на операции“, каза Грег Монсън от Trustwave SpiderLabs Metaverse Post.
„Що се отнася до спекулациите за намеренията на заплахата, която следихме, потенциална мотивация може да бъде събирането на идентификационни данни за акаунт към различни услуги и след това споделянето и/или продажбата им чрез Telegram в „Golden Dragon Lounge“. Потребителите в тази телеграм група често могат да бъдат намерени да търсят различни услуги, като Netflix, Spotify, YouTube и cPanel“, добави той.
Освен това разследването на екипа доведе до различни псевдоними, комуникационни канали и хранилища, използвани от участниците в заплахата, включително псевдоними като „Liu Kong,“ „MR Meta,“ MeoBlackA и „John Macollan“, намерени в групи като „Pwn3rzs Chat ,“ „Golden Dragon Lounge“, „Data Pro“ и „КГБ форуми“.
На 18 декември зловреден софтуер стана известен на обществеността и беше докладван във VirusTotal.
„Несигурността относно това как ще се използват данните наистина добавя някои усложнения от гледна точка на смекчаването, но стъпките, които една организация трябва да предприеме, за да коригира, трябва да бъдат същите. Обучението на потребителите да идентифицират потенциално злонамерени връзки и прилагането на корекции за сигурност за уязвимости е една от първите стъпки, които една организация трябва да предприеме, за да предотврати атака като тази“, каза Монсън.
„В случай, че бъде открит злонамерен софтуер с този тип възможности, би било препоръчително да нулирате паролата на засегнатите потребители, тъй като тази информация може да бъде използвана при вторична атака с по-големи последици“, добави той.
Друг зловреден софтуер, Phemedrone, споделя всички характеристики на Ov3r_Stealer, но е написан на различен език (C#). Препоръчително е да търсите чрез телеметрия, за да идентифицирате всяка потенциална употреба на този злонамерен софтуер и неговите варианти в системите, въпреки че изброените IOC вероятно не са подходящи за текущите атаки на злонамерен софтуер.
Отказ от отговорност
В съответствие с Доверете се насоките на проекта, моля, имайте предвид, че предоставената на тази страница информация не е предназначена да бъде и не трябва да се тълкува като правен, данъчен, инвестиционен, финансов или каквато и да е друга форма на съвет. Важно е да инвестирате само това, което можете да си позволите да загубите, и да потърсите независим финансов съвет, ако имате някакви съмнения. За допълнителна информация предлагаме да се обърнете към правилата и условията, както и към страниците за помощ и поддръжка, предоставени от издателя или рекламодателя. MetaversePost се ангажира с точно, безпристрастно отчитане, но пазарните условия подлежат на промяна без предизвестие.
За автора
Кумар е опитен технически журналист със специализация в динамичните пресечни точки на AI/ML, маркетингови технологии и нововъзникващи области като крипто, блокчейн и NFTс. С над 3 години опит в индустрията, Kumar има доказан опит в изработването на завладяващи разкази, провеждането на проницателни интервюта и предоставянето на изчерпателни прозрения. Експертният опит на Kumar се състои в създаването на силно въздействащо съдържание, включително статии, доклади и изследователски публикации за известни индустриални платформи. С уникален набор от умения, който съчетава технически познания и разказване на истории, Кумар се справя отлично в предаването на сложни технологични концепции на различни аудитории по ясен и увлекателен начин.
Още статии
Кумар е опитен технически журналист със специализация в динамичните пресечни точки на AI/ML, маркетингови технологии и нововъзникващи области като крипто, блокчейн и NFTс. С над 3 години опит в индустрията, Kumar има доказан опит в изработването на завладяващи разкази, провеждането на проницателни интервюта и предоставянето на изчерпателни прозрения. Експертният опит на Kumar се състои в създаването на силно въздействащо съдържание, включително статии, доклади и изследователски публикации за известни индустриални платформи. С уникален набор от умения, който съчетава технически познания и разказване на истории, Кумар се справя отлично в предаването на сложни технологични концепции на различни аудитории по ясен и увлекателен начин.
