A Trustwave SpiderLabs jelentése szerint a hackerek Facebook adathalász kártevőt használnak a kriptográfiai adatok ellopására
Röviden
A Trustwave SpiderLabs felfedezte az Ov3r_Stealer kriptográfiai hitelesítő adatokat ellopó kártevőt, amely rávilágított a kriptográfiai biztonsági fenyegetések térnyerésére.
Kiberbiztonsági cég Trustwave SpiderLabs felfedezte a új rosszindulatú program Az Ov3r_Stealer nevet kapta egy Advanced Continual Threat Hunt (ACTH) kampányvizsgálat során 2023 decemberének elején.
Az Ov3r_Stealert rosszindulatú szereplők alkották meg, és aljas céllal tervezték, hogy érzékeny hitelesítő adatokat és kriptovaluta pénztárcákat lopjon el a gyanútlan áldozatoktól, és elküldje azokat a fenyegetőző által felügyelt távirati csatornára.
A kezdeti támadás vektorát egy megtévesztésre vezették vissza Facebook számlavezetői állás lehetőségének álcázott álláshirdetés. Az érdeklődőket, nem sejtve a közelgő fenyegetést, rábírták, hogy a hirdetésbe ágyazott linkekre kattintsanak, átirányítva őket egy rosszindulatú Discord tartalomszolgáltató URL-re.
„Ahhoz, hogy a Malvertisement kezdeti támadási vektor megvalósuljon az áldozat környezetében, a felhasználónak rá kell kattintania a hirdetésben található linkre. Innen egy URL-rövidítő szolgáltatáson keresztül egy CDN-re irányítják át őket. Az általunk megfigyelt esetekben megfigyelt CDN a cdn.discordapp.com volt” – mondta Greg Monson, a Trustwave SpiderLabs kiberfenyegetésekkel foglalkozó hírszerzési csoportmenedzsere. Metaverse Post.
„Onnantól az áldozatot becsaphatják, hogy letöltse az Ov3r_Stealer rakományát. A letöltés után a következő hasznos adatot Windows Vezérlőpult-fájlként (.CPL) fogja lekérni. A megfigyelt esetben a.CPL fájl egy PowerShell-szkripten keresztül csatlakozik egy GitHub tárolóhoz, hogy további rosszindulatú fájlokat tölthessen le” – tette hozzá Monson.
Fontos megjegyezni, hogy a rosszindulatú program rendszerre való betöltése magában foglalja a HTML-csempészetet, az SVG-csempészetet és az LNK-fájl maszkolását. A végrehajtást követően a rosszindulatú program létrehoz egy fennmaradási mechanizmust egy ütemezett feladaton keresztül, és 90 másodpercenként lefut.
A növekvő kiberfenyegetések proaktív biztonsági intézkedéseket sürgetnek
Ezek a rosszindulatú programok érzékeny adatokat, például földrajzi helymeghatározást, jelszavakat, hitelkártyaadatokat és egyebeket szivárogtatnak ki egy távirati csatornára, amelyet fenyegető szereplők figyelnek, kiemelve a fejlődő környezetet. számítógépes fenyegetések és a proaktív kiberbiztonsági intézkedések fontossága.
"Noha nem vagyunk tisztában a fenyegetőző szándékaival, amelyek mögött a kártevőn keresztül ellopott információk összegyűjtése áll, láttunk hasonló információkat árulni különböző Dark Web fórumokon. Az ezeken a platformokon vásárolt és eladott hitelesítő adatok potenciális hozzáférési vektort jelenthetnek a ransomware csoportok számára a műveletek végrehajtásához” – mondta Greg Monson, a Trustwave SpiderLabs munkatársa. Metaverse Post.
„Az általunk nyomon követett fenyegetés szereplőinek szándékaival kapcsolatos spekulációkat illetően egy lehetséges motiváció lehet, hogy különböző szolgáltatásokhoz begyűjtjük a fiók hitelesítő adatait, majd megosztjuk és/vagy eladjuk azokat Telegramon keresztül a „Golden Dragon Lounge”-ban. Az ebbe a táviratcsoportba tartozó felhasználók gyakran különböző szolgáltatásokat kérnek, mint például a Netflix, a Spotify, a YouTube és a cPanel” – tette hozzá.
Ezen túlmenően a csapat által végzett nyomozás a fenyegetés szereplői által használt különféle álnevekhez, kommunikációs csatornákhoz és adattárakhoz vezetett, köztük olyan álnevekhez, mint a „Liu Kong”, „MR Meta”, MeoBlackA és „John Macollan” olyan csoportokban, mint a „Pwn3rzs Chat”. , "Golden Dragon Lounge", "Data Pro" és "KGB Forums".
December 18-án a malware ismertté vált a nyilvánosság előtt, és a VirusTotalban jelentették.
„Az adatok felhasználásának bizonytalansága némi bonyodalmat okoz a mérséklés szempontjából, de a szervezetnek a helyreállítás érdekében meg kell tennie ugyanazokat a lépéseket. A felhasználók betanítása a potenciálisan rosszindulatú hivatkozások azonosítására és a sebezhetőségekre vonatkozó biztonsági javítások alkalmazása az egyik első lépés, amelyet egy szervezetnek meg kell tennie egy ilyen támadás megakadályozása érdekében” – mondta Monson.
"Amennyiben ilyen képességgel rendelkező rosszindulatú programokat találnak, tanácsos lenne visszaállítani az érintett felhasználók jelszavát, mivel ez az információ egy másodlagos támadásban, nagyobb következményekkel járhat" - tette hozzá.
Egy másik rosszindulatú program, a Phemedrone, az Ov3r_Stealer összes jellemzőjét megosztja, de más nyelven (C#) íródott. Javasoljuk, hogy telemetriával keressen, hogy azonosítsa ennek a kártevőnek és változatainak esetleges használatát a rendszerekben, annak ellenére, hogy a felsorolt IOC-k valószínűleg nem relevánsak a jelenlegi rosszindulatú támadások szempontjából.
A felelősség megtagadása
Összhangban a A Trust Project irányelvei, kérjük, vegye figyelembe, hogy az ezen az oldalon közölt információk nem minősülnek jogi, adózási, befektetési, pénzügyi vagy bármilyen más formájú tanácsnak, és nem is értelmezhetők. Fontos, hogy csak annyit fektessen be, amennyit megengedhet magának, hogy elveszítsen, és kérjen független pénzügyi tanácsot, ha kétségei vannak. További információkért javasoljuk, hogy tekintse meg a szerződési feltételeket, valamint a kibocsátó vagy hirdető által biztosított súgó- és támogatási oldalakat. MetaversePost elkötelezett a pontos, elfogulatlan jelentéstétel mellett, de a piaci feltételek előzetes értesítés nélkül változhatnak.
A szerzőről
Kumar tapasztalt műszaki újságíró, aki az AI/ML dinamikus metszéspontjaira, a marketingtechnológiára és az olyan feltörekvő területekre szakosodott, mint a kriptográfia, blokklánc és NFTs. Az iparágban szerzett több mint 3 éves tapasztalatával Kumar bevált eredményeket hozott fel lenyűgöző narratívák készítése, éleslátó interjúk készítése és átfogó betekintések nyújtása terén. A Kumar szakértelme abban rejlik, hogy nagy hatású tartalmakat készít, ideértve cikkeket, jelentéseket és kutatási publikációkat prominens iparági platformok számára. A technikai tudást és a történetmesélést ötvöző egyedülálló készségkészletével Kumar kiválóan kommunikál összetett technológiai koncepciókkal a különböző közönségekkel, világos és vonzó módon.
További cikkek
Kumar tapasztalt műszaki újságíró, aki az AI/ML dinamikus metszéspontjaira, a marketingtechnológiára és az olyan feltörekvő területekre szakosodott, mint a kriptográfia, blokklánc és NFTs. Az iparágban szerzett több mint 3 éves tapasztalatával Kumar bevált eredményeket hozott fel lenyűgöző narratívák készítése, éleslátó interjúk készítése és átfogó betekintések nyújtása terén. A Kumar szakértelme abban rejlik, hogy nagy hatású tartalmakat készít, ideértve cikkeket, jelentéseket és kutatási publikációkat prominens iparági platformok számára. A technikai tudást és a történetmesélést ötvöző egyedülálló készségkészletével Kumar kiválóan kommunikál összetett technológiai koncepciókkal a különböző közönségekkel, világos és vonzó módon.
