Οι χάκερ χρησιμοποιούν κακόβουλο λογισμικό ηλεκτρονικού ψαρέματος του Facebook για να κλέψουν διαπιστευτήρια κρυπτογράφησης, προειδοποιεί η αναφορά Trustwave SpiderLabs
Εν συντομία
Η Trustwave SpiderLabs ανακάλυψε κακόβουλο λογισμικό κλοπής διαπιστευτηρίων κρυπτογράφησης Ov3r_Stealer, υπογραμμίζοντας την άνοδο του τοπίου απειλών για την ασφάλεια των κρυπτονομισμάτων.
Εταιρεία κυβερνοασφάλειας Trustwave SpiderLabs ανακάλυψε α νέο κακόβουλο λογισμικό με το όνομα Ov3r_Stealer κατά τη διάρκεια μιας έρευνας για την εκστρατεία Advanced Continual Continual Threat Hunt (ACTH) στις αρχές Δεκεμβρίου 2023.
Το Ov3r_Stealer έχει δημιουργηθεί από κακόβουλους ηθοποιούς και έχει σχεδιαστεί με έναν κακόβουλο σκοπό να κλέψει ευαίσθητα διαπιστευτήρια και πορτοφόλια κρυπτονομισμάτων από ανυποψίαστα θύματα και να τα στείλει σε ένα κανάλι Telegram που παρακολουθείται από τον ηθοποιό απειλής.
Ο φορέας αρχικής επίθεσης εντοπίστηκε σε ένα παραπλανητικό Facebook αγγελία εργασίας που μεταμφιέζεται ως ευκαιρία για θέση Διευθυντή Λογαριασμού. Τα ενδιαφερόμενα άτομα, ανυποψίαστα για την επικείμενη απειλή, παρασύρθηκαν να κάνουν κλικ σε συνδέσμους που ήταν ενσωματωμένοι στη διαφήμιση, ανακατευθύνοντάς τους σε μια κακόβουλη διεύθυνση URL παράδοσης περιεχομένου Discord.
«Για να υλοποιηθεί ο φορέας αρχικής επίθεσης Malvertisement στο περιβάλλον ενός θύματος, ο χρήστης θα πρέπει να κάνει κλικ στον σύνδεσμο που παρέχεται στη διαφήμιση. Από εκεί, θα ανακατευθυνθούν μέσω μιας υπηρεσίας συντόμευσης URL σε ένα CDN. Το CDN που παρατηρήθηκε στις περιπτώσεις που παρατηρήσαμε ήταν το cdn.discordapp.com», είπε ο Γκρεγκ Μόνσον, Διευθυντής Ομάδας Πληροφοριών για Κυβερνοαπειλή της Trustwave SpiderLabs. Metaverse Post.
«Από εκεί, το θύμα μπορεί να εξαπατηθεί ώστε να κατεβάσει το ωφέλιμο φορτίο του Ov3r_Stealer. Μόλις γίνει λήψη, θα ανακτήσει το επόμενο ωφέλιμο φορτίο ως Αρχείο Πίνακα Ελέγχου των Windows (.CPL). Στην παρατηρούμενη περίπτωση, το αρχείο.CPL συνδέεται με ένα αποθετήριο GitHub μέσω ενός σεναρίου PowerShell για λήψη επιπλέον κακόβουλων αρχείων», πρόσθεσε ο Monson.
Είναι σημαντικό να σημειωθεί ότι η φόρτωση του κακόβουλου λογισμικού στο σύστημα περιλαμβάνει λαθρεμπόριο HTML, λαθρεμπόριο SVG και μεταμφίεση αρχείων LNK. Μόλις εκτελεστεί, το κακόβουλο λογισμικό δημιουργεί έναν μηχανισμό επιμονής μέσω μιας Προγραμματισμένης Εργασίας και εκτελείται κάθε 90 δευτερόλεπτα.
Οι αυξανόμενες απειλές στον κυβερνοχώρο προτρέπουν προληπτικά μέτρα ασφαλείας
Αυτά τα κακόβουλα προγράμματα διεισδύουν ευαίσθητα δεδομένα όπως γεωγραφική τοποθεσία, κωδικούς πρόσβασης, στοιχεία πιστωτικών καρτών και άλλα σε ένα κανάλι Telegram που παρακολουθείται από παράγοντες απειλών, υπογραμμίζοντας το εξελισσόμενο τοπίο απειλές στον κυβερνοχώρο και τη σημασία των προληπτικών μέτρων κυβερνοασφάλειας.
«Αν και δεν γνωρίζουμε τις προθέσεις που είχε ο ηθοποιός της απειλής πίσω από τη συλλογή των πληροφοριών που είχαν κλαπεί μέσω αυτού του κακόβουλου λογισμικού, έχουμε δει παρόμοιες πληροφορίες να πωλούνται σε διάφορα φόρουμ του Dark Web. Τα διαπιστευτήρια που αγοράζονται και πωλούνται σε αυτές τις πλατφόρμες μπορούν να είναι ένας πιθανός φορέας πρόσβασης για ομάδες ransomware για τη διεξαγωγή εργασιών», δήλωσε ο Greg Monson του Trustwave SpiderLabs. Metaverse Post.
«Όσον αφορά τις εικασίες σχετικά με τις προθέσεις του παράγοντα απειλών που παρακολουθούσαμε, ένα πιθανό κίνητρο θα μπορούσε να είναι η συλλογή διαπιστευτηρίων λογαριασμού σε διάφορες υπηρεσίες και στη συνέχεια η κοινή χρήση ή/και η πώλησή τους μέσω Telegram στο «Golden Dragon Lounge». Οι χρήστες σε αυτήν την ομάδα τηλεγραφημάτων μπορούν συχνά να βρεθούν να ζητούν διαφορετικές υπηρεσίες, όπως το Netflix, το Spotify, το YouTube και το cPanel», πρόσθεσε.
Επιπλέον, η έρευνα από την ομάδα οδήγησε σε διάφορα ψευδώνυμα, κανάλια επικοινωνίας και αποθετήρια που χρησιμοποιούνται από τους παράγοντες απειλών, συμπεριλαμβανομένων ψευδώνυμων όπως «Liu Kong», «MR Meta», MeoBlackA και «John Macollan» που βρέθηκαν σε ομάδες όπως το «Pwn3rzs Chat». , "Golden Dragon Lounge", "Data Pro" και "Φόρουμ KGB".
Στις 18 Δεκεμβρίου, το malware έγινε γνωστό στο κοινό και αναφέρθηκε στο VirusTotal.
«Η αβεβαιότητα για το πώς θα χρησιμοποιηθούν τα δεδομένα προσθέτει ορισμένες επιπλοκές από την άποψη του μετριασμού, αλλά τα βήματα που θα πρέπει να λάβει ένας οργανισμός για την αποκατάσταση θα πρέπει να είναι τα ίδια. Η εκπαίδευση των χρηστών για τον εντοπισμό πιθανών κακόβουλων συνδέσμων και η εφαρμογή ενημερώσεων κώδικα ασφαλείας για τρωτά σημεία είναι ένα από τα πρώτα βήματα που πρέπει να κάνει ένας οργανισμός για να αποτρέψει μια επίθεση όπως αυτή», δήλωσε ο Monson.
«Σε περίπτωση που εντοπιστεί κακόβουλο λογισμικό με αυτόν τον τύπο δυνατότητας, θα ήταν σκόπιμο να επαναφέρετε τον κωδικό πρόσβασης των επηρεαζόμενων χρηστών, καθώς αυτές οι πληροφορίες θα μπορούσαν να χρησιμοποιηθούν σε μια δευτερεύουσα επίθεση με μεγαλύτερες επιπτώσεις», πρόσθεσε.
Ένα άλλο κακόβουλο λογισμικό, το Phemedrone, μοιράζεται όλα τα χαρακτηριστικά του Ov3r_Stealer αλλά είναι γραμμένο σε διαφορετική γλώσσα (C#). Συνιστάται η αναζήτηση μέσω τηλεμετρίας για τον εντοπισμό τυχόν πιθανής χρήσης αυτού του κακόβουλου λογισμικού και των παραλλαγών του σε συστήματα, παρά το γεγονός ότι οι καταχωρημένες ΔΟΕ ενδέχεται να μην σχετίζονται με τις τρέχουσες επιθέσεις κακόβουλου λογισμικού.
Αποποίηση ευθυνών
Σύμφωνα με το Οδηγίες του έργου Trust, σημειώστε ότι οι πληροφορίες που παρέχονται σε αυτήν τη σελίδα δεν προορίζονται και δεν πρέπει να ερμηνεύονται ως νομικές, φορολογικές, επενδυτικές, χρηματοοικονομικές ή οποιαδήποτε άλλη μορφή συμβουλής. Είναι σημαντικό να επενδύσετε μόνο ό,τι έχετε την πολυτέλεια να χάσετε και να αναζητήσετε ανεξάρτητες οικονομικές συμβουλές εάν έχετε οποιεσδήποτε αμφιβολίες. Για περισσότερες πληροφορίες, προτείνουμε να ανατρέξετε στους όρους και τις προϋποθέσεις, καθώς και στις σελίδες βοήθειας και υποστήριξης που παρέχονται από τον εκδότη ή τον διαφημιστή. MetaversePost δεσμεύεται για ακριβείς, αμερόληπτες αναφορές, αλλά οι συνθήκες της αγοράς υπόκεινται σε αλλαγές χωρίς προειδοποίηση.
Σχετικά με το Συγγραφέας
Ο Kumar είναι ένας έμπειρος Τεχνικός Δημοσιογράφος με εξειδίκευση στις δυναμικές διασταυρώσεις της AI/ML, της τεχνολογίας μάρκετινγκ και των αναδυόμενων τομέων όπως η κρυπτογράφηση, η αλυσίδα μπλοκ και η NFTμικρό. Με περισσότερα από 3 χρόνια εμπειρίας στον κλάδο, η Kumar έχει δημιουργήσει ένα αποδεδειγμένο ιστορικό στη δημιουργία συναρπαστικών αφηγήσεων, τη διεξαγωγή οξυδερκών συνεντεύξεων και την παροχή ολοκληρωμένων πληροφοριών. Η τεχνογνωσία της Kumar έγκειται στην παραγωγή περιεχομένου υψηλής απήχησης, συμπεριλαμβανομένων άρθρων, εκθέσεων και ερευνητικών δημοσιεύσεων για εξέχουσες πλατφόρμες του κλάδου. Με ένα μοναδικό σύνολο δεξιοτήτων που συνδυάζει τεχνικές γνώσεις και αφήγηση, ο Kumar διαπρέπει στην επικοινωνία σύνθετων τεχνολογικών εννοιών σε διαφορετικά κοινά με σαφή και ελκυστικό τρόπο.
Περισσότερα άρθρα
Ο Kumar είναι ένας έμπειρος Τεχνικός Δημοσιογράφος με εξειδίκευση στις δυναμικές διασταυρώσεις της AI/ML, της τεχνολογίας μάρκετινγκ και των αναδυόμενων τομέων όπως η κρυπτογράφηση, η αλυσίδα μπλοκ και η NFTμικρό. Με περισσότερα από 3 χρόνια εμπειρίας στον κλάδο, η Kumar έχει δημιουργήσει ένα αποδεδειγμένο ιστορικό στη δημιουργία συναρπαστικών αφηγήσεων, τη διεξαγωγή οξυδερκών συνεντεύξεων και την παροχή ολοκληρωμένων πληροφοριών. Η τεχνογνωσία της Kumar έγκειται στην παραγωγή περιεχομένου υψηλής απήχησης, συμπεριλαμβανομένων άρθρων, εκθέσεων και ερευνητικών δημοσιεύσεων για εξέχουσες πλατφόρμες του κλάδου. Με ένα μοναδικό σύνολο δεξιοτήτων που συνδυάζει τεχνικές γνώσεις και αφήγηση, ο Kumar διαπρέπει στην επικοινωνία σύνθετων τεχνολογικών εννοιών σε διαφορετικά κοινά με σαφή και ελκυστικό τρόπο.
