Hackere bruger Facebook-phishing-malware til at stjæle krypto-legitimationsoplysninger, advarer Trustwave SpiderLabs-rapport
Kort sagt
Trustwave SpiderLabs opdagede krypto-legitimationsoplysninger, der stjal malware Ov3r_Stealer, hvilket fremhævede stigningen i landskabet for kryptosikkerhedstrusler.
Cybersikkerhedsvirksomhed Trustwave SpiderLabs opdagede en ny malware navngivet Ov3r_Stealer under en Advanced Continual Threat Hunt (ACTH) kampagneundersøgelse i begyndelsen af december 2023.
Ov3r_Stealer er lavet af ondsindede aktører og er konstrueret med et ondsindet formål at stjæle følsomme legitimationsoplysninger og cryptocurrency-punge fra intetanende ofre og sende dem til en Telegram-kanal, der overvåges af trusselsaktøren.
Den oprindelige angrebsvektor blev sporet tilbage til en bedrager Facebook stillingsannonce, der maskerer sig som en mulighed for en Account Manager-stilling. Interessante personer, uden mistanke om den forestående trussel, blev lokket til at klikke på links, der var indlejret i annoncen, og omdirigerede dem til en ondsindet leverings-URL for Discord-indhold.
"For at Malvertisements indledende angrebsvektor kan realiseres på et offers miljø, skal brugeren klikke på linket i annoncen. Derfra ville de blive omdirigeret via en URL-forkortelsestjeneste til et CDN. Det CDN, der blev observeret i de tilfælde, vi observerede, var cdn.discordapp.com,” fortalte Greg Monson, Trustwave SpiderLabs cybertrusselsefterretningsteamchef Metaverse Post.
"Derfra kan offeret blive narret til at downloade nyttelasten af Ov3r_Stealer. Når den er downloadet, vil den hente den næste nyttelast som en Windows Kontrolpanel-fil (.CPL). I det observerede tilfælde forbindes.CPL-filen til et GitHub-lager gennem et PowerShell-script for at downloade yderligere ondsindede filer,” tilføjede Monson.
Det er vigtigt at bemærke, at indlæsning af malware på systemet inkluderer HTML-smugling, SVG-smugling og LNK-filmaskering. Når den er udført, skaber malwaren en persistensmekanisme gennem en planlagt opgave og kører hvert 90. sekund.
Voksende cybertrusler kræver proaktive sikkerhedsforanstaltninger
Disse malwares eksfiltrerer følsomme data som geolokation, adgangskoder, kreditkortoplysninger og mere til en Telegram-kanal, der overvåges af trusselsaktører, hvilket fremhæver det udviklende landskab af trusler cyber og vigtigheden af proaktive cybersikkerhedsforanstaltninger.
“Selvom vi ikke er klar over de intentioner, trusselsaktøren havde bag at indsamle de oplysninger, der blev stjålet via denne malware, har vi set lignende oplysninger blive solgt på forskellige Dark Web-fora. Legitimationsoplysninger købt og solgt på disse platforme kan være en potentiel adgangsvektor for ransomware-grupper til at udføre operationer," fortalte Trustwave SpiderLabs' Greg Monson Metaverse Post.
"Med hensyn til at spekulere i intentionerne hos den trusselsaktør, vi sporede, kunne en potentiel motivation være at høste kontooplysninger til forskellige tjenester og derefter dele og/eller sælge dem via Telegram i 'Golden Dragon Lounge'. Brugere i denne telegramgruppe kan ofte findes, der anmoder om forskellige tjenester, såsom Netflix, Spotify, YouTube og cPanel,” tilføjede han.
Desuden førte holdets undersøgelse til forskellige aliaser, kommunikationskanaler og arkiver brugt af trusselsaktørerne, herunder aliaser som 'Liu Kong', 'MR Meta' MeoBlackA og 'John Macollan' fundet i grupper som 'Pwn3rzs Chat ,' 'Golden Dragon Lounge', 'Data Pro' og 'KGB Forums.'
Den 18. december, the malware blev kendt for offentligheden og blev rapporteret i VirusTotal.
"Usikkerheden om, hvordan dataene vil blive brugt, tilføjer nogle komplikationer fra et afbødningssynspunkt, men de skridt, en organisation bør tage for at afhjælpe, bør være de samme. At træne brugere i at identificere potentielt ondsindede links og at anvende sikkerhedsrettelser til sårbarheder er et af de første skridt, en organisation bør tage for at forhindre et angreb som dette,” sagde Monson.
"I tilfælde af, at malware bliver fundet med denne type kapacitet, vil det være tilrådeligt at nulstille adgangskoden for berørte brugere, da denne information kan bruges i et sekundært angreb med større implikationer," tilføjede han.
En anden malware, Phemedrone, deler alle egenskaberne fra Ov3r_Stealer, men er skrevet på et andet sprog (C#). Det anbefales at jage gennem telemetri for at identificere enhver potentiel brug af denne malware og dens varianter i systemer på trods af, at de anførte IOC'er muligvis ikke er relevante for aktuelle malwareangreb.
Ansvarsfraskrivelse
I tråd med den Trust Project retningslinjer, bemærk venligst, at oplysningerne på denne side ikke er beregnet til at være og ikke skal fortolkes som juridiske, skattemæssige, investeringsmæssige, finansielle eller nogen anden form for rådgivning. Det er vigtigt kun at investere, hvad du har råd til at tabe, og at søge uafhængig finansiel rådgivning, hvis du er i tvivl. For yderligere information foreslår vi at henvise til vilkårene og betingelserne samt hjælpe- og supportsiderne fra udstederen eller annoncøren. MetaversePost er forpligtet til nøjagtig, objektiv rapportering, men markedsforholdene kan ændres uden varsel.
Om forfatteren
Kumar er en erfaren teknisk journalist med speciale i de dynamiske skæringspunkter mellem AI/ML, marketingteknologi og nye områder som krypto, blockchain og NFTs. Med over 3 års erfaring i branchen har Kumar etableret en dokumenteret track record i at skabe overbevisende fortællinger, udføre indsigtsfulde interviews og levere omfattende indsigt. Kumars ekspertise ligger i at producere indhold med stor gennemslagskraft, herunder artikler, rapporter og forskningspublikationer til fremtrædende industriplatforme. Med et unikt færdighedssæt, der kombinerer teknisk viden og historiefortælling, udmærker Kumar sig ved at kommunikere komplekse teknologiske koncepter til forskellige målgrupper på en klar og engagerende måde.
Flere artikler
Kumar er en erfaren teknisk journalist med speciale i de dynamiske skæringspunkter mellem AI/ML, marketingteknologi og nye områder som krypto, blockchain og NFTs. Med over 3 års erfaring i branchen har Kumar etableret en dokumenteret track record i at skabe overbevisende fortællinger, udføre indsigtsfulde interviews og levere omfattende indsigt. Kumars ekspertise ligger i at producere indhold med stor gennemslagskraft, herunder artikler, rapporter og forskningspublikationer til fremtrædende industriplatforme. Med et unikt færdighedssæt, der kombinerer teknisk viden og historiefortælling, udmærker Kumar sig ved at kommunikere komplekse teknologiske koncepter til forskellige målgrupper på en klar og engagerende måde.
