Hackeři používají Facebook phishingový malware ke krádeži kryptografických údajů, varuje Trustwave SpiderLabs Report
Stručně
Trustwave SpiderLabs objevil malware Ov3r_Stealer, který kradl kryptografické údaje, a upozornil tak na nárůst v oblasti krypto bezpečnostních hrozeb.
Společnost zabývající se kybernetickou bezpečností Trustwave SpiderLabs objevil a nový malware jmenoval Ov3r_Stealer během vyšetřování kampaně Advanced Continual Threat Hunt (ACTH) na začátku prosince 2023.
Ov3r_Stealer je vytvořen zlomyslnými herci a je navržen s nekalým účelem ukrást citlivé přihlašovací údaje a kryptoměnové peněženky nic netušícím obětem a poslat je na kanál telegramu monitorovaný aktérem hrozby.
Počáteční vektor útoku byl vysledován zpět k podvodníkovi facebook pracovní inzerát maskující se jako příležitost pro pozici Account Manager. Zaujatí jedinci, nic netušící o hrozící hrozbě, byli nalákáni ke klikání na odkazy vložené do reklamy a přesměrování na adresu URL pro doručování škodlivého obsahu Discord.
„Aby byl vektor počátečního útoku Malvertisement realizován v prostředí oběti, musel by uživatel kliknout na odkaz uvedený v reklamě. Odtud by byli přesměrováni přes službu zkracování URL na CDN. CDN pozorovaná v případech, které jsme pozorovali, byla cdn.discordapp.com,“ řekl Greg Monson, manažer týmu kybernetických hrozeb Trustwave SpiderLabs. Metaverse Post.
„Odtud může být oběť podvedena ke stažení užitečného zatížení Ov3r_Stealer. Po stažení načte další datovou část jako soubor ovládacího panelu Windows (.CPL). V pozorovaném případě se soubor .CPL připojuje k úložišti GitHub prostřednictvím skriptu PowerShell a stahuje další škodlivé soubory,“ dodal Monson.
Je důležité si uvědomit, že načítání malwaru do systému zahrnuje pašování HTML, pašování SVG a maskování souborů LNK. Po spuštění vytvoří malware mechanismus perzistence prostřednictvím naplánované úlohy a spustí se každých 90 sekund.
Rostoucí kybernetické hrozby Rychlá proaktivní bezpečnostní opatření
Tyto malware exfiltrují citlivá data, jako je geolokace, hesla, údaje o kreditních kartách a další, do telegramového kanálu monitorovaného aktéry hrozeb, čímž zvýrazňují vyvíjející se prostředí kybernetické hrozby a význam proaktivních opatření v oblasti kybernetické bezpečnosti.
„Ačkoli si nejsme vědomi úmyslů, které měl aktér hrozby za shromažďováním informací ukradených prostřednictvím tohoto malwaru, viděli jsme podobné informace prodávat na různých fórech Dark Web. Pověření zakoupená a prodaná na těchto platformách mohou být potenciálním přístupovým vektorem pro skupiny ransomwaru k provádění operací,“ řekl Greg Monson z Trustwave SpiderLabs. Metaverse Post.
„Pokud jde o spekulace o záměrech aktéra hrozby, kterého jsme sledovali, potenciální motivací by mohlo být získávání přihlašovacích údajů k různým službám a jejich sdílení a/nebo prodej prostřednictvím telegramu v ‚Golden Dragon Lounge‘. Uživatelé v této skupině telegramů se často setkávají s žádostí o různé služby, jako jsou Netflix, Spotify, YouTube a cPanel,“ dodal.
Vyšetřování týmu navíc vedlo k různým aliasům, komunikačním kanálům a úložištím používaným aktéry hrozeb, včetně aliasů jako „Liu Kong“, „MR Meta“, MeoBlackA a „John Macollan“ nalezených ve skupinách jako „Pwn3rzs Chat“. “, „Golden Dragon Lounge“, „Data Pro“ a „Fóra KGB“.
18. prosince malware se stal známým veřejnosti a byl hlášen v VirusTotal.
„Nejistota ohledně toho, jak budou data použita, přináší určité komplikace z hlediska zmírňování, ale kroky, které by organizace měla podniknout k nápravě, by měly být stejné. Školení uživatelů k identifikaci potenciálně škodlivých odkazů a použití bezpečnostních záplat na zranitelnost je jedním z prvních kroků, které by organizace měla podniknout, aby zabránila takovému útoku,“ řekl Monson.
"V případě, že bude nalezen malware s tímto typem schopnosti, bylo by vhodné resetovat heslo postižených uživatelů, protože tyto informace by mohly být použity v sekundárním útoku s většími důsledky," dodal.
Další malware, Phemedrone, sdílí všechny vlastnosti Ov3r_Stealer, ale je napsán v jiném jazyce (C#). Doporučuje se vyhledávat pomocí telemetrie, abyste identifikovali jakékoli potenciální použití tohoto malwaru a jeho variant v systémech, přestože uvedené IOC nemusí být relevantní pro současné útoky malwaru.
Odmítnutí odpovědnosti
V souladu s Pokyny k projektu Trust, prosím vezměte na vědomí, že informace uvedené na této stránce nejsou určeny a neměly by být vykládány jako právní, daňové, investiční, finanční nebo jakékoli jiné formy poradenství. Je důležité investovat jen to, co si můžete dovolit ztratit, a v případě pochybností vyhledat nezávislé finanční poradenství. Pro další informace doporučujeme nahlédnout do smluvních podmínek a také na stránky nápovědy a podpory poskytnuté vydavatelem nebo inzerentem. MetaversePost se zavázala poskytovat přesné a nezaujaté zprávy, ale podmínky na trhu se mohou bez upozornění změnit.
O autorovi
Kumar je zkušený technický novinář se specializací na dynamické průniky AI/ML, marketingové technologie a nově vznikající obory, jako jsou kryptoměny, blockchain a NFTs. S více než 3 lety zkušeností v oboru si Kumar vytvořil prokazatelné výsledky ve vytváření působivých příběhů, vedení zasvěcených rozhovorů a poskytování komplexních poznatků. Kumarova odbornost spočívá ve vytváření vysoce působivého obsahu, včetně článků, zpráv a výzkumných publikací pro prominentní průmyslové platformy. Díky jedinečné sadě dovedností, které kombinují technické znalosti a vyprávění příběhů, Kumar vyniká v komunikaci složitých technologických konceptů pro různé publikum jasným a poutavým způsobem.
Další články
Kumar je zkušený technický novinář se specializací na dynamické průniky AI/ML, marketingové technologie a nově vznikající obory, jako jsou kryptoměny, blockchain a NFTs. S více než 3 lety zkušeností v oboru si Kumar vytvořil prokazatelné výsledky ve vytváření působivých příběhů, vedení zasvěcených rozhovorů a poskytování komplexních poznatků. Kumarova odbornost spočívá ve vytváření vysoce působivého obsahu, včetně článků, zpráv a výzkumných publikací pro prominentní průmyslové platformy. Díky jedinečné sadě dovedností, které kombinují technické znalosti a vyprávění příběhů, Kumar vyniká v komunikaci složitých technologických konceptů pro různé publikum jasným a poutavým způsobem.
