Hacker nutzen Facebook-Phishing-Malware, um Krypto-Zugangsdaten zu stehlen, warnt der Trustwave SpiderLabs-Bericht
In Kürze
Trustwave SpiderLabs entdeckte die Malware Ov3r_Stealer, die Krypto-Anmeldeinformationen stiehlt, und verdeutlicht damit den Anstieg der Krypto-Sicherheitsbedrohungslandschaft.
Cybersicherheitsunternehmen Trustwave SpiderLabs entdeckt neue Malware genannt Ov3r_Stealer während einer Untersuchung der Advanced Continual Threat Hunt (ACTH)-Kampagne Anfang Dezember 2023.
Ov3r_Stealer wird von böswilligen Akteuren erstellt und mit dem schändlichen Ziel entwickelt, sensible Anmeldeinformationen und Kryptowährungs-Wallets von ahnungslosen Opfern zu stehlen und sie an einen vom Bedrohungsakteur überwachten Telegram-Kanal zu senden.
Der ursprüngliche Angriffsvektor wurde auf eine Täuschung zurückgeführt Facebook Stellenanzeige, die als Chance für eine Stelle als Account Manager getarnt ist. Interessierte Personen, die nichts von der drohenden Bedrohung ahnten, wurden dazu verleitet, auf in der Anzeige eingebettete Links zu klicken, wodurch sie zu einer böswilligen URL zur Bereitstellung von Discord-Inhalten weitergeleitet wurden.
„Um den ersten Angriffsvektor von Malvertisement in der Umgebung eines Opfers zu erkennen, müsste der Benutzer auf den in der Werbung bereitgestellten Link klicken. Von dort würden sie über einen URL-Verkürzungsdienst an ein CDN weitergeleitet. „Das in den von uns beobachteten Fällen beobachtete CDN war cdn.discordapp.com“, sagte Greg Monson, Teammanager für Cyber Threat Intelligence bei Trustwave SpiderLabs Metaverse Post.
„Von dort aus kann das Opfer dazu verleitet werden, die Nutzlast von Ov3r_Stealer herunterzuladen. Nach dem Herunterladen wird die nächste Nutzlast als Windows-Systemsteuerungsdatei (.CPL) abgerufen. Im beobachteten Fall stellt die.CPL-Datei über ein PowerShell-Skript eine Verbindung zu einem GitHub-Repository her, um zusätzliche schädliche Dateien herunterzuladen“, fügte Monson hinzu.
Es ist wichtig zu beachten, dass das Laden der Malware auf das System HTML-Schmuggel, SVG-Schmuggel und LNK-Dateimaskierung umfasst. Nach der Ausführung erstellt die Malware über eine geplante Aufgabe einen Persistenzmechanismus und wird alle 90 Sekunden ausgeführt.
Zunehmende Cyber-Bedrohungen erfordern proaktive Sicherheitsmaßnahmen
Diese Schadsoftware schleust sensible Daten wie Geolokalisierung, Passwörter, Kreditkartendaten und mehr an einen Telegram-Kanal, der von Bedrohungsakteuren überwacht wird, und verdeutlicht so die sich entwickelnde Landschaft von Cyber-Bedrohungen und die Bedeutung proaktiver Cybersicherheitsmaßnahmen.
„Obwohl uns die Absichten des Bedrohungsakteurs mit der Sammlung der über diese Malware gestohlenen Informationen nicht bekannt sind, haben wir gesehen, dass ähnliche Informationen in verschiedenen Dark-Web-Foren verkauft wurden. Auf diesen Plattformen gekaufte und verkaufte Anmeldeinformationen können ein potenzieller Zugriffsvektor für Ransomware-Gruppen sein, um Operationen durchzuführen“, sagte Greg Monson von Trustwave SpiderLabs Metaverse Post.
„Was Spekulationen über die Absichten des von uns verfolgten Bedrohungsakteurs angeht, könnte eine mögliche Motivation darin bestehen, Kontodaten für verschiedene Dienste zu sammeln und diese dann per Telegram in der ‚Golden Dragon Lounge‘ zu teilen und/oder zu verkaufen.“ Benutzer dieser Telegram-Gruppe sind oft dabei, verschiedene Dienste wie Netflix, Spotify, YouTube und cPanel anzufordern“, fügte er hinzu.
Darüber hinaus führte die Untersuchung des Teams zu verschiedenen Aliasen, Kommunikationskanälen und Repositories, die von den Bedrohungsakteuren verwendet wurden, darunter Aliase wie „Liu Kong“, „MR Meta“, MeoBlackA und „John Macollan“, die in Gruppen wie „Pwn3rzs Chat“ zu finden waren , „Golden Dragon Lounge“, „Data Pro“ und „KGB-Foren“.
Am 18 Dezember, dem Malware wurde der Öffentlichkeit bekannt und in VirusTotal gemeldet.
„Die Ungewissheit darüber, wie die Daten verwendet werden, führt zwar zu einigen Komplikationen aus Sicht der Risikominderung, aber die Schritte, die eine Organisation zur Behebung unternehmen sollte, sollten dieselben sein. Die Schulung der Benutzer zur Erkennung potenziell bösartiger Links und die Anwendung von Sicherheitspatches für Schwachstellen ist einer der ersten Schritte, die ein Unternehmen unternehmen sollte, um einen Angriff wie diesen zu verhindern“, sagte Monson.
„Für den Fall, dass Malware mit dieser Art von Fähigkeit gefunden wird, wäre es ratsam, das Passwort der betroffenen Benutzer zurückzusetzen, da diese Informationen für einen sekundären Angriff mit größeren Auswirkungen verwendet werden könnten“, fügte er hinzu.
Eine andere Malware, Phemedrone, weist alle Merkmale von Ov3r_Stealer auf, ist jedoch in einer anderen Sprache (C#) geschrieben. Es wird empfohlen, die Telemetrie zu nutzen, um eine mögliche Verwendung dieser Malware und ihrer Varianten in Systemen zu identifizieren, auch wenn die aufgeführten IOCs möglicherweise für aktuelle Malware-Angriffe nicht relevant sind.
Haftungsausschluss
Im Einklang mit der Richtlinien des Trust-ProjektsBitte beachten Sie, dass die auf dieser Seite bereitgestellten Informationen nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung gedacht sind und nicht als solche interpretiert werden sollten. Es ist wichtig, nur so viel zu investieren, wie Sie sich leisten können, zu verlieren, und im Zweifelsfall eine unabhängige Finanzberatung einzuholen. Für weitere Informationen empfehlen wir einen Blick auf die Allgemeinen Geschäftsbedingungen sowie die Hilfe- und Supportseiten des Herausgebers oder Werbetreibenden. MetaversePost ist einer genauen, unvoreingenommenen Berichterstattung verpflichtet, die Marktbedingungen können sich jedoch ohne Vorankündigung ändern.
Über den Autor
Kumar ist ein erfahrener Technologiejournalist mit Spezialisierung auf die dynamischen Schnittstellen von KI/ML, Marketingtechnologie und aufstrebenden Bereichen wie Krypto, Blockchain und NFTS. Mit über drei Jahren Erfahrung in der Branche hat Kumar eine nachgewiesene Erfolgsbilanz bei der Erstellung überzeugender Erzählungen, der Durchführung aufschlussreicher Interviews und der Bereitstellung umfassender Erkenntnisse. Kumars Fachwissen liegt in der Produktion von wirkungsvollen Inhalten, darunter Artikeln, Berichten und Forschungspublikationen für prominente Branchenplattformen. Mit seinen einzigartigen Fähigkeiten, die technisches Wissen und Geschichtenerzählen kombinieren, zeichnet sich Kumar dadurch aus, dass er komplexe technologische Konzepte einem unterschiedlichen Publikum auf klare und ansprechende Weise vermittelt.
Weitere Artikel
Kumar ist ein erfahrener Technologiejournalist mit Spezialisierung auf die dynamischen Schnittstellen von KI/ML, Marketingtechnologie und aufstrebenden Bereichen wie Krypto, Blockchain und NFTS. Mit über drei Jahren Erfahrung in der Branche hat Kumar eine nachgewiesene Erfolgsbilanz bei der Erstellung überzeugender Erzählungen, der Durchführung aufschlussreicher Interviews und der Bereitstellung umfassender Erkenntnisse. Kumars Fachwissen liegt in der Produktion von wirkungsvollen Inhalten, darunter Artikeln, Berichten und Forschungspublikationen für prominente Branchenplattformen. Mit seinen einzigartigen Fähigkeiten, die technisches Wissen und Geschichtenerzählen kombinieren, zeichnet sich Kumar dadurch aus, dass er komplexe technologische Konzepte einem unterschiedlichen Publikum auf klare und ansprechende Weise vermittelt.
