Les pirates utilisent des logiciels malveillants de phishing sur Facebook pour voler des informations d'identification cryptographiques, prévient le rapport Trustwave SpiderLabs
En bref
Trustwave SpiderLabs a découvert le malware Ov3r_Stealer qui vole des informations d'identification cryptographiques, soulignant l'augmentation du paysage des menaces de sécurité cryptographique.
Entreprise de cybersécurité Trustwave Spider Labs découvert un nouveau malware nommé Ov3r_Stealer lors d’une enquête de campagne Advanced Continual Threat Hunt (ACTH) début décembre 2023.
Ov3r_Stealer est conçu par des acteurs malveillants et est conçu dans le but néfaste de voler des informations d'identification sensibles et des portefeuilles de crypto-monnaie à des victimes sans méfiance et de les envoyer vers un canal Telegram surveillé par l'acteur menaçant.
Le vecteur d'attaque initial remonte à un système trompeur. Facebook offre d'emploi se faisant passer pour une opportunité pour un poste de gestionnaire de comptes. Des individus intrigués, sans se douter de la menace imminente, ont été incités à cliquer sur des liens intégrés dans la publicité, les redirigeant vers une URL malveillante de diffusion de contenu Discord.
« Pour que le vecteur d'attaque initial Malvertisement soit réalisé sur l'environnement d'une victime, l'utilisateur devrait cliquer sur le lien fourni dans la publicité. De là, ils seraient redirigés via un service de raccourcissement d’URL vers un CDN. Le CDN observé dans les cas que nous avons observés était cdn.discordapp.com », a déclaré Greg Monson, responsable de l'équipe de renseignement sur les cybermenaces de Trustwave SpiderLabs. Metaverse Post.
« À partir de là, la victime peut être amenée à télécharger la charge utile d'Ov3r_Stealer. Une fois téléchargé, il récupérera la charge utile suivante sous forme de fichier du panneau de configuration Windows (.CPL). Dans le cas observé, le fichier.CPL se connecte à un référentiel GitHub via un script PowerShell pour télécharger des fichiers malveillants supplémentaires », a ajouté Monson.
Il est important de noter que le chargement du logiciel malveillant sur le système inclut la contrebande HTML, la contrebande SVG et le masquage de fichiers LNK. Une fois exécuté, le malware crée un mécanisme de persistance via une tâche planifiée et s'exécute toutes les 90 secondes.
Les cybermenaces croissantes incitent à des mesures de sécurité proactives
Ces malwares exfiltrent des données sensibles telles que la géolocalisation, les mots de passe, les détails de la carte de crédit et bien plus encore vers un canal Telegram surveillé par des acteurs malveillants, mettant en évidence l'évolution du paysage de cybermenaces et l’importance de mesures proactives de cybersécurité.
« Bien que nous ne soyons pas conscients des intentions de l'auteur de la menace derrière la collecte des informations volées via ce malware, nous avons vu des informations similaires être vendues sur divers forums du Dark Web. Les informations d'identification achetées et vendues sur ces plates-formes peuvent constituer un vecteur d'accès potentiel permettant aux groupes de ransomwares de mener des opérations », a déclaré Greg Monson de Trustwave SpiderLabs. Metaverse Post.
« En ce qui concerne les spéculations sur les intentions de l'acteur menaçant que nous suivions, une motivation potentielle pourrait être de récolter des informations d'identification de compte sur divers services, puis de les partager et/ou de les vendre via Telegram dans le « Golden Dragon Lounge ». Les utilisateurs de ce groupe de télégrammes sollicitent souvent différents services, tels que Netflix, Spotify, YouTube et cPanel », a-t-il ajouté.
De plus, l'enquête menée par l'équipe a conduit à divers pseudonymes, canaux de communication et référentiels utilisés par les acteurs de la menace, notamment des pseudonymes comme « Liu Kong », « MR Meta », MeoBlackA et « John Macollan » trouvés dans des groupes comme « Pwn3rzs Chat ». », « Golden Dragon Lounge », « Data Pro » et « Forums du KGB ».
En décembre 18, le malware est devenu connu du public et a été signalé dans VirusTotal.
« L'incertitude quant à la manière dont les données seront utilisées ajoute certaines complications du point de vue de l'atténuation, mais les mesures qu'une organisation doit prendre pour y remédier devraient être les mêmes. Former les utilisateurs à identifier les liens potentiellement malveillants et à appliquer des correctifs de sécurité pour les vulnérabilités est l'une des premières mesures qu'une organisation devrait prendre pour prévenir une attaque de ce type », a déclaré Monson.
"Dans le cas où un logiciel malveillant doté de ce type de capacité serait détecté, il serait conseillé de réinitialiser le mot de passe des utilisateurs concernés, car ces informations pourraient être utilisées dans une attaque secondaire avec des implications plus importantes", a-t-il ajouté.
Un autre malware, Phemadrone, partage toutes les caractéristiques d'Ov3r_Stealer mais est écrit dans un langage différent (C#). Il est recommandé de rechercher par télémétrie pour identifier toute utilisation potentielle de ce logiciel malveillant et de ses variantes dans les systèmes, même si les IOC répertoriés ne sont peut-être pas pertinents pour les attaques de logiciels malveillants actuelles.
Clause de non-responsabilité
En ligne avec la Lignes directrices du projet de confiance, veuillez noter que les informations fournies sur cette page ne sont pas destinées à être et ne doivent pas être interprétées comme des conseils juridiques, fiscaux, d'investissement, financiers ou toute autre forme de conseil. Il est important d’investir uniquement ce que vous pouvez vous permettre de perdre et de demander des conseils financiers indépendants en cas de doute. Pour plus d'informations, nous vous suggérons de vous référer aux conditions générales ainsi qu'aux pages d'aide et de support mises à disposition par l'émetteur ou l'annonceur. MetaversePost s'engage à fournir des rapports précis et impartiaux, mais les conditions du marché sont susceptibles de changer sans préavis.
A propos de l'auteur
Kumar est un journaliste technologique expérimenté spécialisé dans les intersections dynamiques de l'IA/ML, de la technologie marketing et des domaines émergents tels que la cryptographie, la blockchain et NFTs. Avec plus de 3 ans d'expérience dans l'industrie, Kumar a fait ses preuves dans l'élaboration de récits convaincants, la conduite d'entretiens perspicaces et la fourniture d'informations complètes. L'expertise de Kumar réside dans la production de contenu à fort impact, notamment des articles, des rapports et des publications de recherche pour des plateformes industrielles de premier plan. Doté d’un ensemble de compétences uniques combinant connaissances techniques et narration, Kumar excelle dans la communication de concepts technologiques complexes à des publics divers de manière claire et engageante.
Plus d'articles
Kumar est un journaliste technologique expérimenté spécialisé dans les intersections dynamiques de l'IA/ML, de la technologie marketing et des domaines émergents tels que la cryptographie, la blockchain et NFTs. Avec plus de 3 ans d'expérience dans l'industrie, Kumar a fait ses preuves dans l'élaboration de récits convaincants, la conduite d'entretiens perspicaces et la fourniture d'informations complètes. L'expertise de Kumar réside dans la production de contenu à fort impact, notamment des articles, des rapports et des publications de recherche pour des plateformes industrielles de premier plan. Doté d’un ensemble de compétences uniques combinant connaissances techniques et narration, Kumar excelle dans la communication de concepts technologiques complexes à des publics divers de manière claire et engageante.
