Rapport de nouvelles Technologie
06 février 2024

Les pirates utilisent des logiciels malveillants de phishing sur Facebook pour voler des informations d'identification cryptographiques, prévient le rapport Trustwave SpiderLabs

En bref

Trustwave SpiderLabs a découvert le malware Ov3r_Stealer qui vole des informations d'identification cryptographiques, soulignant l'augmentation du paysage des menaces de sécurité cryptographique.

Les pirates utilisent des logiciels malveillants de phishing sur Facebook pour voler des informations d'identification cryptographiques, prévient le rapport Trustwave SpiderLabs

Entreprise de cybersécurité Trustwave Spider Labs découvert un nouveau malware nommé Ov3r_Stealer lors d’une enquête de campagne Advanced Continual Threat Hunt (ACTH) début décembre 2023.

Ov3r_Stealer est conçu par des acteurs malveillants et est conçu dans le but néfaste de voler des informations d'identification sensibles et des portefeuilles de crypto-monnaie à des victimes sans méfiance et de les envoyer vers un canal Telegram surveillé par l'acteur menaçant.

Le vecteur d'attaque initial remonte à un système trompeur. Facebook offre d'emploi se faisant passer pour une opportunité pour un poste de gestionnaire de comptes. Des individus intrigués, sans se douter de la menace imminente, ont été incités à cliquer sur des liens intégrés dans la publicité, les redirigeant vers une URL malveillante de diffusion de contenu Discord.

« Pour que le vecteur d'attaque initial Malvertisement soit réalisé sur l'environnement d'une victime, l'utilisateur devrait cliquer sur le lien fourni dans la publicité. De là, ils seraient redirigés via un service de raccourcissement d’URL vers un CDN. Le CDN observé dans les cas que nous avons observés était cdn.discordapp.com », a déclaré Greg Monson, responsable de l'équipe de renseignement sur les cybermenaces de Trustwave SpiderLabs. Metaverse Post.

« À partir de là, la victime peut être amenée à télécharger la charge utile d'Ov3r_Stealer. Une fois téléchargé, il récupérera la charge utile suivante sous forme de fichier du panneau de configuration Windows (.CPL). Dans le cas observé, le fichier.CPL se connecte à un référentiel GitHub via un script PowerShell pour télécharger des fichiers malveillants supplémentaires », a ajouté Monson.

Il est important de noter que le chargement du logiciel malveillant sur le système inclut la contrebande HTML, la contrebande SVG et le masquage de fichiers LNK. Une fois exécuté, le malware crée un mécanisme de persistance via une tâche planifiée et s'exécute toutes les 90 secondes.

Les cybermenaces croissantes incitent à des mesures de sécurité proactives

Ces malwares exfiltrent des données sensibles telles que la géolocalisation, les mots de passe, les détails de la carte de crédit et bien plus encore vers un canal Telegram surveillé par des acteurs malveillants, mettant en évidence l'évolution du paysage de cybermenaces et l’importance de mesures proactives de cybersécurité.

« Bien que nous ne soyons pas conscients des intentions de l'auteur de la menace derrière la collecte des informations volées via ce malware, nous avons vu des informations similaires être vendues sur divers forums du Dark Web. Les informations d'identification achetées et vendues sur ces plates-formes peuvent constituer un vecteur d'accès potentiel permettant aux groupes de ransomwares de mener des opérations », a déclaré Greg Monson de Trustwave SpiderLabs. Metaverse Post.

« En ce qui concerne les spéculations sur les intentions de l'acteur menaçant que nous suivions, une motivation potentielle pourrait être de récolter des informations d'identification de compte sur divers services, puis de les partager et/ou de les vendre via Telegram dans le « Golden Dragon Lounge ». Les utilisateurs de ce groupe de télégrammes sollicitent souvent différents services, tels que Netflix, Spotify, YouTube et cPanel », a-t-il ajouté.

De plus, l'enquête menée par l'équipe a conduit à divers pseudonymes, canaux de communication et référentiels utilisés par les acteurs de la menace, notamment des pseudonymes comme « Liu Kong », « MR Meta », MeoBlackA et « John Macollan » trouvés dans des groupes comme « Pwn3rzs Chat ». », « Golden Dragon Lounge », « Data Pro » et « Forums du KGB ».

En décembre 18, le malware est devenu connu du public et a été signalé dans VirusTotal.

« L'incertitude quant à la manière dont les données seront utilisées ajoute certaines complications du point de vue de l'atténuation, mais les mesures qu'une organisation doit prendre pour y remédier devraient être les mêmes. Former les utilisateurs à identifier les liens potentiellement malveillants et à appliquer des correctifs de sécurité pour les vulnérabilités est l'une des premières mesures qu'une organisation devrait prendre pour prévenir une attaque de ce type », a déclaré Monson.

"Dans le cas où un logiciel malveillant doté de ce type de capacité serait détecté, il serait conseillé de réinitialiser le mot de passe des utilisateurs concernés, car ces informations pourraient être utilisées dans une attaque secondaire avec des implications plus importantes", a-t-il ajouté.

Un autre malware, Phemadrone, partage toutes les caractéristiques d'Ov3r_Stealer mais est écrit dans un langage différent (C#). Il est recommandé de rechercher par télémétrie pour identifier toute utilisation potentielle de ce logiciel malveillant et de ses variantes dans les systèmes, même si les IOC répertoriés ne sont peut-être pas pertinents pour les attaques de logiciels malveillants actuelles.

Avertissement :

En ligne avec la Lignes directrices du projet de confiance, veuillez noter que les informations fournies sur cette page ne sont pas destinées à être et ne doivent pas être interprétées comme des conseils juridiques, fiscaux, d'investissement, financiers ou toute autre forme de conseil. Il est important d’investir uniquement ce que vous pouvez vous permettre de perdre et de demander des conseils financiers indépendants en cas de doute. Pour plus d'informations, nous vous suggérons de vous référer aux conditions générales ainsi qu'aux pages d'aide et de support mises à disposition par l'émetteur ou l'annonceur. MetaversePost s'engage à fournir des rapports précis et impartiaux, mais les conditions du marché sont susceptibles de changer sans préavis.

A propos de l'auteur

Kumar est un journaliste technologique expérimenté spécialisé dans les intersections dynamiques de l'IA/ML, de la technologie marketing et des domaines émergents tels que la cryptographie, la blockchain et NFTsFort de plus de 3 ans d'expérience dans le secteur, Kumar a fait ses preuves en matière d'élaboration de récits convaincants, de conduite d'entretiens approfondis et de fourniture d'informations complètes. L'expertise de Kumar réside dans la production de contenu à fort impact, notamment des articles, des rapports et des publications de recherche pour des plateformes industrielles de premier plan. Doté d'un ensemble de compétences uniques qui combine connaissances techniques et narration, Kumar excelle dans la communication de concepts technologiques complexes à des publics divers de manière claire et engageante.

Plus d'articles
Kumar Gandhar
Kumar Gandhar

Kumar est un journaliste technologique expérimenté spécialisé dans les intersections dynamiques de l'IA/ML, de la technologie marketing et des domaines émergents tels que la cryptographie, la blockchain et NFTsFort de plus de 3 ans d'expérience dans le secteur, Kumar a fait ses preuves en matière d'élaboration de récits convaincants, de conduite d'entretiens approfondis et de fourniture d'informations complètes. L'expertise de Kumar réside dans la production de contenu à fort impact, notamment des articles, des rapports et des publications de recherche pour des plateformes industrielles de premier plan. Doté d'un ensemble de compétences uniques qui combine connaissances techniques et narration, Kumar excelle dans la communication de concepts technologiques complexes à des publics divers de manière claire et engageante.

De Ripple au Big Green DAO : comment les projets de crypto-monnaie contribuent à la charité

Explorons les initiatives exploitant le potentiel des monnaies numériques pour des causes caritatives.

Savoir Plus

AlphaFold 3, Med-Gemini et autres : la façon dont l'IA transforme les soins de santé en 2024

L'IA se manifeste de diverses manières dans le domaine des soins de santé, de la découverte de nouvelles corrélations génétiques à l'autonomisation des systèmes chirurgicaux robotisés...

Savoir Plus
En savoir plus
En savoir plus.
Gate.io Simple Earn : débloquez des rendements allant jusqu'à 34 % sur les USDT et ETH « inactifs »
Marchés Rapport de nouvelles Technologie
Gate.io Simple Earn : débloquez des rendements allant jusqu'à 34 % sur les USDT et ETH « inactifs »
15 janvier 2025
Protéger les services publics grâce à de nouvelles politiques anti-ransomware dans des niches critiques
Opinion Business Marchés Technologie
Protéger les services publics grâce à de nouvelles politiques anti-ransomware dans des niches critiques
15 janvier 2025
BNB Chain et KernelDAO favorisent le restaking BNB avec un support de délégation BNB allant jusqu'à 50 40 et un fonds d'écosystème de XNUMX millions de dollars
Rapport de nouvelles Technologie
BNB Chain et KernelDAO favorisent le restaking BNB avec un support de délégation BNB allant jusqu'à 50 40 et un fonds d'écosystème de XNUMX millions de dollars
15 janvier 2025
DWF Labs et NEAR Protocol forment une alliance pour stimuler l'innovation en matière d'IA
Rapport de nouvelles Technologie
DWF Labs et NEAR Protocol forment une alliance pour stimuler l'innovation en matière d'IA
15 janvier 2025
CRYPTOMERIA LABS PTE. LTD.