Veljače 06, 2024

Hakeri koriste Facebook Phishing malware za krađu kripto vjerodajnica, upozorava Trustwave SpiderLabs Report

Objavljeno: 06. veljače 2024. u 9:06 Ažurirano: 06. veljače 2024. u 9:20

Uređeno i provjereno: 06. veljače 2024. u 9:06

Ukratko

Trustwave SpiderLabs otkrio je zlonamjerni softver Ov3r_Stealer za krađu kripto vjerodajnica, ističući porast prijetnji kriptosigurnosti.

Hakeri koriste Facebook Phishing malware za krađu kripto vjerodajnica, upozorava izvješće Trustwave SpiderLabsa

Tvrtka za kibernetičku sigurnost Trustwave SpiderLabs otkrio a novi malware nazvan Ov3r_Stealer tijekom istrage kampanje Advanced Continual Threat Hunt (ACTH) početkom prosinca 2023.

Ov3r_Stealer izradili su zlonamjerni akteri i osmišljen je s opakom svrhom da ukrade osjetljive vjerodajnice i novčanike kriptovalute od žrtava koje ništa ne sumnjaju i pošalje ih na Telegram kanal koji nadzire akter prijetnje.

Početni vektor napada praćen je prijevarom Facebook oglas za posao maskiran kao prilika za poziciju Account Managera. Zaintrigirani pojedinci, ne sluteći nadolazeću prijetnju, bili su namamljeni kliknuti na poveznice ugrađene u reklamu, preusmjeravajući ih na zlonamjerni URL za isporuku sadržaja Discorda.

“Da bi se početni vektor malvertisement napada realizirao u okruženju žrtve, korisnik bi morao kliknuti na poveznicu navedenu u oglasu. Odatle bi bili preusmjereni putem usluge skraćivanja URL-ova na CDN. CDN promatran u slučajevima koje smo promatrali bio je cdn.discordapp.com,” rekao je Greg Monson, voditelj tima za obavještavanje o kibernetičkim prijetnjama Trustwave SpiderLabs. Metaverse Post.

“Odatle, žrtva može biti prevarena da preuzme korisni teret Ov3r_Stealer. Nakon preuzimanja, dohvatit će sljedeći sadržaj kao datoteku upravljačke ploče sustava Windows (.CPL). U promatranoj instanci, .CPL datoteka povezuje se s GitHub repozitorijem putem PowerShell skripte za preuzimanje dodatnih zlonamjernih datoteka,” dodao je Monson.

Važno je napomenuti da učitavanje zlonamjernog softvera u sustav uključuje HTML krijumčarenje, SVG krijumčarenje i maskiranje LNK datoteka. Nakon što se izvrši, zlonamjerni softver stvara mehanizam postojanosti putem planiranog zadatka i pokreće se svakih 90 sekundi.

Rastuće kibernetičke prijetnje potiču proaktivne sigurnosne mjere

Ovi zlonamjerni softveri eksfiltriraju osjetljive podatke poput geolokacije, lozinki, podataka o kreditnim karticama i još mnogo toga na kanal Telegrama koji nadziru akteri prijetnji, naglašavajući evoluirajući krajolik cyber prijetnje te važnost proaktivnih mjera kibernetičke sigurnosti.

“Iako nismo svjesni namjera koje je akter prijetnje imao iza prikupljanja informacija ukradenih putem ovog zlonamjernog softvera, vidjeli smo da se slične informacije prodaju na raznim Dark Web forumima. Vjerodajnice kupljene i prodane na tim platformama mogu biti potencijalni vektor pristupa za grupe ransomwarea za provođenje operacija,” rekao je Greg Monson iz Trustwave SpiderLabsa. Metaverse Post.

“Što se tiče nagađanja o namjerama aktera prijetnje koje smo pratili, potencijalna motivacija mogla bi biti prikupljanje vjerodajnica računa za razne usluge i njihovo potom dijeljenje i/ili prodaja putem Telegrama u 'Golden Dragon Lounge'. Korisnici u ovoj telegram grupi često se mogu pronaći kako traže različite usluge, kao što su Netflix, Spotify, YouTube i cPanel,” dodao je.

Štoviše, istraga tima dovela je do raznih pseudonima, komunikacijskih kanala i spremišta koje koriste prijetnje, uključujući pseudonime poput 'Liu Kong,' 'MR Meta,' MeoBlackA i 'John Macollan' pronađene u grupama poput 'Pwn3rzs Chat' ,' 'Golden Dragon Lounge,' 'Data Pro' i 'KGB Forumi.'

18. prosinca malware postala poznata javnosti i objavljena u VirusTotalu.

„Nesigurnost načina na koji će se podaci koristiti dodaje neke komplikacije sa stajališta ublažavanja, ali koraci koje bi organizacija trebala poduzeti za sanaciju trebali bi biti isti. Obuka korisnika za prepoznavanje potencijalno zlonamjernih poveznica i primjena sigurnosnih zakrpa za ranjivosti jedan je od prvih koraka koje bi organizacija trebala poduzeti kako bi spriječila ovakav napad,” rekao je Monson.

"U slučaju da se pronađe zlonamjerni softver s ovom vrstom mogućnosti, bilo bi preporučljivo poništiti lozinku pogođenih korisnika, jer bi se ta informacija mogla koristiti u sekundarnom napadu s većim implikacijama", dodao je.

Još jedan malware, Phemedrone, dijeli sve karakteristike Ov3r_Stealer-a, ali je napisan na drugom jeziku (C#). Preporuča se tražiti telemetriju kako bi se identificirala bilo kakva potencijalna upotreba ovog zlonamjernog softvera i njegovih varijanti u sustavima unatoč tome što navedeni IOC-ovi možda nisu relevantni za trenutne napade zlonamjernog softvera.

Izjava o odricanju od odgovornosti

U skladu s Smjernice projekta povjerenja, imajte na umu da informacije navedene na ovoj stranici nemaju namjeru i ne smiju se tumačiti kao pravni, porezni, investicijski, financijski ili bilo koji drugi oblik savjeta. Važno je ulagati samo ono što si možete priuštiti izgubiti i potražiti neovisni financijski savjet ako imate bilo kakvih nedoumica. Za dodatne informacije predlažemo da pogledate odredbe i uvjete, kao i stranice za pomoć i podršku koje pruža izdavatelj ili oglašivač. MetaversePost je predan točnom, nepristranom izvješćivanju, ali tržišni uvjeti podložni su promjenama bez prethodne najave.

O autoru

Kumar je iskusan tehnološki novinar sa specijalizacijom u dinamičkim raskrižjima AI/ML-a, marketinške tehnologije i novih područja kao što su kripto, blockchain i NFTs. S više od 3 godine iskustva u industriji, Kumar ima dokazanu reputaciju u izradi uvjerljivih priča, provođenju pronicljivih intervjua i pružanju sveobuhvatnih uvida. Kumarova stručnost leži u izradi sadržaja visokog utjecaja, uključujući članke, izvješća i istraživačke publikacije za istaknute industrijske platforme. S jedinstvenim skupom vještina koje kombiniraju tehničko znanje i pripovijedanje, Kumar se ističe u komuniciranju složenih tehnoloških koncepata različitoj publici na jasan i privlačan način.

Više članaka

Kumar Gandharv