Hakkerit käyttävät Facebookin tietojenkalasteluhaittaohjelmia salaustietojen varastamiseen, varoittaa Trustwave SpiderLabs -raportti
Lyhyesti
Trustwave SpiderLabs löysi salaustunnuksia varastavan haittaohjelman Ov3r_Stealer, mikä korostaa kryptoturvauhkien kasvua.
Kyberturvallisuusyritys Trustwave SpiderLabs löysi a uutta haittaohjelmia nimettiin Ov3r_Stealer Advanced Continual Threat Hunt (ACTH) -kampanjatutkimuksen aikana joulukuun 2023 alussa.
Ov3r_Stealer on pahantahtoisten toimijoiden kehittämä, ja se on suunniteltu ilkeäksi tarkoitukseksi varastaa arkaluontoisia tunnistetietoja ja kryptovaluuttalompakoita pahaa-aavistamattomilta uhreilta ja lähettää ne Telegram-kanavalle, jota uhkatoimija valvoo.
Alkuperäinen hyökkäysvektori jäljitettiin petokselle Facebook työpaikkailmoitus, joka naamioituu mahdollisuudeksi Account Managerin tehtävään. Kiinnostuneet henkilöt, jotka eivät aavistaneet uhkaavaa uhkaa, houkuteltiin napsauttamaan mainokseen upotettuja linkkejä, jotka ohjasivat heidät haitalliseen Discord-sisällöntoimitus-URL-osoitteeseen.
”Jotta Malvertisementin alkuhyökkäysvektori toteutuisi uhrin ympäristössä, käyttäjän tulee klikata mainoksessa olevaa linkkiä. Sieltä ne ohjataan URL-lyhennyspalvelun kautta CDN:ään. CDN, joka havaittiin havaitsemissamme tapauksissa, oli cdn.discordapp.com", Trustwave SpiderLabsin kyberuhkien tiedustelutiimin päällikkö Greg Monson kertoi. Metaverse Post.
"Sieltä uhri voidaan huijata lataamaan Ov3r_Stealerin hyötykuorma. Kun se on ladattu, se hakee seuraavan hyötykuorman Windowsin Ohjauspaneelitiedostona (.CPL). Havaitussa tapauksessa.CPL-tiedosto muodostaa yhteyden GitHub-tietovarastoon PowerShell-komentosarjan kautta lisähaitallisten tiedostojen lataamiseksi", Monson lisäsi.
On tärkeää huomata, että haittaohjelmien lataaminen järjestelmään sisältää HTML-salakuljetuksen, SVG-salakuljetuksen ja LNK-tiedostojen naamioinnin. Kun haittaohjelma on suoritettu, se luo pysyvyysmekanismin Scheduled Task -toiminnon kautta ja toimii 90 sekunnin välein.
Kasvavat kyberuhat vaativat ennakoivia turvatoimia
Nämä haittaohjelmat tunkeutuvat arkaluontoisia tietoja, kuten maantieteellistä sijaintia, salasanoja, luottokorttitietoja ja paljon muuta Telegram-kanavalle, jota uhkaavat toimijat valvovat ja korostavat verkkouhilta ja ennakoivien kyberturvallisuustoimenpiteiden tärkeys.
"Vaikka emme ole tietoisia uhkatekijän aikeista kerätä tämän haittaohjelman kautta varastettuja tietoja, olemme nähneet samanlaista tietoa myytävän useilla Dark Web -foorumeilla. Näillä alustoilla ostetut ja myydyt tunnistetiedot voivat olla mahdollinen pääsyn vektori kiristyshaittaohjelmaryhmille toimintojen suorittamiseen", Trustwave SpiderLabsin Greg Monson kertoi. Metaverse Post.
"Seuraaman uhkatoimijan aikomusten spekuloinnissa potentiaalinen motivaatio voisi olla tilitietojen kerääminen eri palveluille ja niiden jakaminen ja/tai myynti Telegramin kautta "Golden Dragon Loungessa". Tämän sähkeryhmän käyttäjät voivat usein löytää erilaisia palveluita, kuten Netflixin, Spotifyn, YouTuben ja cPanelin", hän lisäsi.
Lisäksi ryhmän tekemä tutkimus johti useisiin uhkatoimijoiden käyttämiin aliaksiin, viestintäkanaviin ja tietovarastoihin, mukaan lukien aliaksit, kuten "Liu Kong", "MR Meta", MeoBlackA ja "John Macollan", jotka löytyivät ryhmistä, kuten "Pwn3rzs Chat". , 'Golden Dragon Lounge', 'Data Pro' ja 'KGB Forums'.
18. joulukuuta haittaohjelmat tuli yleisön tietoon ja siitä raportoitiin VirusTotalissa.
”Epävarmuus siitä, miten dataa käytetään, lisää hankaluuksia lieventämisen näkökulmasta, mutta toimenpiteiden, joita organisaation tulisi tehdä korjaamiseksi, tulisi olla samat. Käyttäjien kouluttaminen tunnistamaan mahdollisesti haitalliset linkit ja tietoturvakorjausten asentaminen haavoittuvuuksiin on yksi ensimmäisistä toimenpiteistä, jotka organisaation tulisi tehdä estääkseen tällaisen hyökkäyksen", Monson sanoi.
"Jos havaitaan haittaohjelmia, joilla on tämän tyyppinen ominaisuus, olisi suositeltavaa nollata asianomaisten käyttäjien salasanat, koska näitä tietoja voidaan käyttää toissijaisessa hyökkäyksessä, jolla on suurempia seurauksia", hän lisäsi.
Toinen haittaohjelma, Phemedrone, jakaa kaikki Ov3r_Stealerin ominaisuudet, mutta on kirjoitettu eri kielellä (C#). On suositeltavaa etsiä telemetriaa tämän haittaohjelman ja sen muunnelmien mahdollisen käytön tunnistamiseksi järjestelmissä huolimatta siitä, että luetellut IOC:t eivät mahdollisesti liity nykyisiin haittaohjelmahyökkäyksiin.
Vastuun kieltäminen
Mukaisesti Luottamusprojektin ohjeetHuomaa, että tällä sivulla annettuja tietoja ei ole tarkoitettu eikä niitä tule tulkita oikeudellisiksi, verotukselliseksi, sijoitus-, rahoitus- tai minkään muun muodon neuvoiksi. On tärkeää sijoittaa vain sen verran, mitä sinulla on varaa menettää, ja pyytää riippumatonta talousneuvontaa, jos sinulla on epäilyksiä. Lisätietoja saat käyttöehdoista sekä myöntäjän tai mainostajan tarjoamista ohje- ja tukisivuista. MetaversePost on sitoutunut tarkkaan, puolueettomaan raportointiin, mutta markkinaolosuhteet voivat muuttua ilman erillistä ilmoitusta.
Author
Kumar on kokenut teknologiatoimittaja, joka on erikoistunut AI/ML:n dynaamisiin risteyksiin, markkinointiteknologiaan ja nouseviin aloihin, kuten krypto-, lohkoketju- ja NFTs. Yli 3 vuoden kokemuksella alalta Kumar on saavuttanut todistetun ennätyksen vakuuttavien tarinoiden laatimisessa, oivaltavien haastattelujen tekemisessä ja kattavien näkemysten toimittamisessa. Kumarin asiantuntemus perustuu vaikuttavan sisällön tuottamiseen, mukaan lukien artikkeleita, raportteja ja tutkimusjulkaisuja merkittäville alan alustoille. Ainutlaatuisella taitosarjalla, jossa yhdistyvät tekninen tietämys ja tarinankerronta, Kumar on erinomainen kommunikoimaan monimutkaisia teknologisia käsitteitä eri yleisöille selkeällä ja mukaansatempaavalla tavalla.
lisää artikkeleita
Kumar on kokenut teknologiatoimittaja, joka on erikoistunut AI/ML:n dynaamisiin risteyksiin, markkinointiteknologiaan ja nouseviin aloihin, kuten krypto-, lohkoketju- ja NFTs. Yli 3 vuoden kokemuksella alalta Kumar on saavuttanut todistetun ennätyksen vakuuttavien tarinoiden laatimisessa, oivaltavien haastattelujen tekemisessä ja kattavien näkemysten toimittamisessa. Kumarin asiantuntemus perustuu vaikuttavan sisällön tuottamiseen, mukaan lukien artikkeleita, raportteja ja tutkimusjulkaisuja merkittäville alan alustoille. Ainutlaatuisella taitosarjalla, jossa yhdistyvät tekninen tietämys ja tarinankerronta, Kumar on erinomainen kommunikoimaan monimutkaisia teknologisia käsitteitä eri yleisöille selkeällä ja mukaansatempaavalla tavalla.
