Els pirates informàtics estan utilitzant programari maliciós de phishing de Facebook per robar credencials de criptografia, adverteix l'informe Trustwave SpiderLabs
En breu
Trustwave SpiderLabs va descobrir Ov3r_Stealer de programari maliciós robant credencials criptogràfiques, posant de manifest l'augment del panorama de les amenaces de seguretat cripto.
Empresa de ciberseguretat Trustwave SpiderLabs va descobrir a programari maliciós nou anomenat Ov3r_Stealer durant una investigació de la campanya Advanced Continual Threat Hunt (ACTH) a principis de desembre de 2023.
Ov3r_Stealer està creat per actors maliciosos i està dissenyat amb un propòsit nefast per robar credencials sensibles i carteres de criptomoneda de víctimes desprevingudes i enviar-les a un canal de Telegram supervisat per l'actor de l'amenaça.
El vector d'atac inicial es va remuntar a un enganyós Facebook anunci de feina disfressat com una oportunitat per a una posició de gestor de comptes. Els individus intrigats, sense sospitar de l'amenaça imminent, van ser seduïts per fer clic als enllaços incrustats a l'anunci, redirigint-los a un URL de lliurament de contingut maliciós de Discord.
"Perquè el vector d'atac inicial de Malvertisement es realitzi a l'entorn de la víctima, l'usuari hauria de fer clic a l'enllaç que es proporciona a l'anunci. A partir d'aquí, es redirigirien mitjançant un servei d'escurçament d'URL a un CDN. El CDN observat en els casos que vam observar era cdn.discordapp.com ", va dir Greg Monson, gerent de l'equip d'intel·ligència d'amenaces cibernètiques de Trustwave SpiderLabs. Metaverse Post.
"A partir d'aquí, la víctima pot ser enganyada perquè descarregui la càrrega útil d'Ov3r_Stealer. Un cop descarregat, recuperarà la següent càrrega útil com a fitxer del tauler de control de Windows (.CPL). En el cas observat, el fitxer.CPL es connecta a un dipòsit de GitHub mitjançant un script de PowerShell per descarregar fitxers maliciosos addicionals", va afegir Monson.
És important tenir en compte que la càrrega de programari maliciós al sistema inclou el contraban HTML, el contraban SVG i l'emmascarament de fitxers LNK. Un cop executat, el programari maliciós crea un mecanisme de persistència mitjançant una tasca programada i s'executa cada 90 segons.
Les creixents amenaces cibernètiques demanen mesures de seguretat proactives
Aquests programes maliciosos s'exfiltreu dades sensibles com la geolocalització, les contrasenyes, els detalls de la targeta de crèdit i molt més a un canal de Telegram supervisat per agents d'amenaça, posant de manifest el panorama en evolució de amenaces cibernètiques i la importància de les mesures proactives de ciberseguretat.
"Tot i que no som conscients de les intencions que l'actor de l'amenaça tenia darrere de recollir la informació robada a través d'aquest programari maliciós, hem vist que es venia informació similar a diversos fòrums de la web fosca. Les credencials comprades i venudes en aquestes plataformes poden ser un vector d'accés potencial per als grups de ransomware per dur a terme operacions", va dir Greg Monson, de Trustwave SpiderLabs. Metaverse Post.
"Sobre l'especulació sobre les intencions de l'actor d'amenaça que estàvem rastrejant, una motivació potencial podria ser la recollida de credencials del compte a diversos serveis i després compartir-les i/o vendre-les a través de Telegram al 'Golden Dragon Lounge'. Sovint es poden trobar usuaris d'aquest grup de telegrams sol·licitant diferents serveis, com Netflix, Spotify, YouTube i cPanel", va afegir.
A més, la investigació de l'equip va donar lloc a diversos àlies, canals de comunicació i repositoris utilitzats pels actors de l'amenaça, inclosos àlies com "Liu Kong", "MR Meta", MeoBlackA i "John Macallan" que es troben en grups com "Pwn3rzs Chat". ,' 'Golden Dragon Lounge', 'Data Pro' i 'KGB Forums'.
El 18 de desembre, el el malware es va donar a conèixer al públic i es va informar a VirusTotal.
"La incertesa de com s'utilitzaran les dades afegeix algunes complicacions des del punt de vista de la mitigació, però els passos que una organització hauria de prendre per corregir haurien de ser els mateixos. Entrenar els usuaris per identificar enllaços potencialment maliciosos i aplicar pedaços de seguretat per a vulnerabilitats és un dels primers passos que una organització hauria de fer per prevenir un atac com aquest", va dir Monson.
"En cas que es trobi programari maliciós amb aquest tipus de capacitat, seria recomanable restablir la contrasenya dels usuaris afectats, ja que aquesta informació es podria utilitzar en un atac secundari amb majors implicacions", ha afegit.
Un altre programari maliciós, Phhemedrone, comparteix totes les característiques d'Ov3r_Stealer però està escrit en un llenguatge diferent (C#). Es recomana cercar la telemetria per identificar qualsevol ús potencial d'aquest programari maliciós i les seves variants als sistemes, tot i que els IOC enumerats possiblement no siguin rellevants per als atacs de programari maliciós actuals.
renúncia
En línia amb la Directrius del projecte Trust, si us plau, tingueu en compte que la informació proporcionada en aquesta pàgina no pretén ni s'ha d'interpretar com a assessorament legal, fiscal, d'inversió, financer o de cap altra forma. És important invertir només el que et pots permetre perdre i buscar assessorament financer independent si tens dubtes. Per obtenir més informació, us suggerim que feu referència als termes i condicions, així com a les pàgines d'ajuda i assistència proporcionades per l'emissor o l'anunciant. MetaversePost es compromet a fer informes precisos i imparcials, però les condicions del mercat estan subjectes a canvis sense previ avís.
About The Autor
Kumar és un periodista tecnològic experimentat amb una especialització en les interseccions dinàmiques d'IA/ML, tecnologia de màrqueting i camps emergents com ara cripto, blockchain i NFTs. Amb més de 3 anys d'experiència en el sector, Kumar ha establert una trajectòria demostrada en l'elaboració de narracions convincents, la realització d'entrevistes minucioses i l'oferiment d'informació exhaustiva. L'experiència de Kumar rau en la producció de contingut d'alt impacte, inclosos articles, informes i publicacions de recerca per a plataformes de la indústria destacades. Amb un conjunt d'habilitats únics que combina coneixements tècnics i narració, Kumar destaca per comunicar conceptes tecnològics complexos a diversos públics d'una manera clara i atractiva.
més articles
Kumar és un periodista tecnològic experimentat amb una especialització en les interseccions dinàmiques d'IA/ML, tecnologia de màrqueting i camps emergents com ara cripto, blockchain i NFTs. Amb més de 3 anys d'experiència en el sector, Kumar ha establert una trajectòria demostrada en l'elaboració de narracions convincents, la realització d'entrevistes minucioses i l'oferiment d'informació exhaustiva. L'experiència de Kumar rau en la producció de contingut d'alt impacte, inclosos articles, informes i publicacions de recerca per a plataformes de la indústria destacades. Amb un conjunt d'habilitats únics que combina coneixements tècnics i narració, Kumar destaca per comunicar conceptes tecnològics complexos a diversos públics d'una manera clara i atractiva.
