Notizie Tecnologia
06 Febbraio 2024

Gli hacker utilizzano il malware di phishing di Facebook per rubare le credenziali crittografiche, avverte il rapporto Trustwave SpiderLabs

In Breve

Trustwave SpiderLabs ha scoperto il malware Ov3r_Stealer che ruba credenziali crittografiche, evidenziando l'aumento del panorama delle minacce alla sicurezza crittografica.

Gli hacker utilizzano il malware di phishing di Facebook per rubare le credenziali crittografiche, avverte il rapporto Trustwave SpiderLabs

Azienda di sicurezza informatica Trustwave Spider Labs scoperto un nuovo malware chiamato Ov3r_Stealer durante un'indagine sulla campagna Advanced Continual Threat Hunt (ACTH) all'inizio di dicembre 2023.

Ov3r_Stealer è realizzato da attori malintenzionati ed è progettato con lo scopo nefasto di rubare credenziali sensibili e portafogli di criptovaluta da vittime ignare e inviarli a un canale Telegram monitorato dall'autore della minaccia.

Il vettore di attacco iniziale è stato ricondotto ad un ingannevole Facebook annuncio di lavoro mascherato da opportunità per una posizione di Account Manager. Le persone incuriosite, ignare della minaccia imminente, sono state indotte a fare clic sui collegamenti incorporati nell'annuncio, reindirizzandole a un URL di distribuzione di contenuti Discord dannoso.

“Affinché il vettore di attacco iniziale Malvertisement possa essere realizzato nell'ambiente della vittima, l'utente dovrebbe cliccare sul collegamento fornito nell'annuncio. Da lì, verrebbero reindirizzati tramite un servizio di abbreviazione URL a un CDN. Il CDN osservato nei casi da noi osservati era cdn.discordapp.com", ha dichiarato Greg Monson, team manager di intelligence sulle minacce informatiche di Trustwave SpiderLabs Metaverse Post.

“Da lì, la vittima potrebbe essere indotta a scaricare il payload di Ov3r_Stealer. Una volta scaricato, recupererà il payload successivo come file del pannello di controllo di Windows (.CPL). Nell’istanza osservata, il file.CPL si connette a un repository GitHub tramite uno script PowerShell per scaricare ulteriori file dannosi”, ha aggiunto Monson.

È importante notare che il caricamento del malware nel sistema include il contrabbando HTML, il contrabbando SVG e il mascheramento di file LNK. Una volta eseguito, il malware crea un meccanismo di persistenza tramite un'attività pianificata ed viene eseguito ogni 90 secondi.

Le crescenti minacce informatiche richiedono misure di sicurezza proattive

Questi malware esfiltrano dati sensibili come geolocalizzazione, password, dettagli di carte di credito e altro su un canale Telegram monitorato dagli autori delle minacce, evidenziando il panorama in evoluzione di minacce informatiche e l’importanza di misure proattive di sicurezza informatica.

“Anche se non siamo a conoscenza delle intenzioni dell'autore della minaccia nel raccogliere le informazioni rubate tramite questo malware, abbiamo visto informazioni simili vendute su vari forum del Dark Web. Le credenziali acquistate e vendute su queste piattaforme possono essere un potenziale vettore di accesso per consentire ai gruppi di ransomware di condurre operazioni", ha dichiarato Greg Monson di Trustwave SpiderLabs Metaverse Post.

"Per quanto riguarda le speculazioni sulle intenzioni dell'autore della minaccia che stavamo monitorando, una potenziale motivazione potrebbe essere quella di raccogliere credenziali di account su vari servizi e quindi condividerle e/o venderle tramite Telegram nella 'Golden Dragon Lounge'. Gli utenti di questo gruppo Telegram si trovano spesso a richiedere diversi servizi, come Netflix, Spotify, YouTube e cPanel", ha aggiunto.

Inoltre, l'indagine condotta dal team ha portato alla scoperta di vari alias, canali di comunicazione e archivi utilizzati dagli autori delle minacce, inclusi alias come "Liu Kong", "MR Meta", MeoBlackA e "John Macollan" trovati in gruppi come "Pwn3rzs Chat". ", "Golden Dragon Lounge", "Data Pro" e "Forum KGB".

Il 18 dicembre, il il malware è diventato noto al pubblico ed è stato segnalato in VirusTotal.

“L’incertezza su come verranno utilizzati i dati aggiunge alcune complicazioni dal punto di vista della mitigazione, ma i passaggi che un’organizzazione dovrebbe intraprendere per porre rimedio dovrebbero essere gli stessi. Formare gli utenti affinché identifichino collegamenti potenzialmente dannosi e applichino patch di sicurezza per le vulnerabilità è uno dei primi passi che un’organizzazione dovrebbe intraprendere per prevenire un attacco come questo”, ha affermato Monson.

"Nel caso in cui venisse trovato un malware con questo tipo di capacità, sarebbe consigliabile reimpostare la password degli utenti interessati, poiché tali informazioni potrebbero essere utilizzate in un attacco secondario con implicazioni maggiori", ha aggiunto.

Un altro malware, Phmedrone, condivide tutte le caratteristiche di Ov3r_Stealer ma è scritto in un linguaggio diverso (C#). Si consiglia di eseguire la ricerca attraverso la telemetria per identificare qualsiasi potenziale utilizzo di questo malware e delle sue varianti nei sistemi nonostante gli IOC elencati potrebbero non essere rilevanti per gli attuali attacchi malware.

Negazione di responsabilità

In linea con la Linee guida del progetto Trust, si prega di notare che le informazioni fornite in questa pagina non intendono essere e non devono essere interpretate come consulenza legale, fiscale, di investimento, finanziaria o di qualsiasi altra forma. È importante investire solo ciò che puoi permetterti di perdere e chiedere una consulenza finanziaria indipendente in caso di dubbi. Per ulteriori informazioni, suggeriamo di fare riferimento ai termini e alle condizioni nonché alle pagine di aiuto e supporto fornite dall'emittente o dall'inserzionista. MetaversePost si impegna a fornire report accurati e imparziali, ma le condizioni di mercato sono soggette a modifiche senza preavviso.

Circa l'autore

Kumar è un giornalista tecnologico esperto con una specializzazione nelle intersezioni dinamiche di AI/ML, tecnologia di marketing e campi emergenti come criptovaluta, blockchain e NFTsCon oltre 3 anni di esperienza nel settore, Kumar ha consolidato una comprovata esperienza nella creazione di narrazioni avvincenti, nella conduzione di interviste approfondite e nella fornitura di approfondimenti completi. L'esperienza di Kumar risiede nella produzione di contenuti ad alto impatto, tra cui articoli, report e pubblicazioni di ricerca per importanti piattaforme del settore. Con un set di competenze unico che combina conoscenza tecnica e narrazione, Kumar eccelle nel comunicare concetti tecnologici complessi a pubblici diversi in modo chiaro e coinvolgente.

Altri articoli
Kumar Gandharv
Kumar Gandharv

Kumar è un giornalista tecnologico esperto con una specializzazione nelle intersezioni dinamiche di AI/ML, tecnologia di marketing e campi emergenti come criptovaluta, blockchain e NFTsCon oltre 3 anni di esperienza nel settore, Kumar ha consolidato una comprovata esperienza nella creazione di narrazioni avvincenti, nella conduzione di interviste approfondite e nella fornitura di approfondimenti completi. L'esperienza di Kumar risiede nella produzione di contenuti ad alto impatto, tra cui articoli, report e pubblicazioni di ricerca per importanti piattaforme del settore. Con un set di competenze unico che combina conoscenza tecnica e narrazione, Kumar eccelle nel comunicare concetti tecnologici complessi a pubblici diversi in modo chiaro e coinvolgente.

Hot Stories
Iscriviti alla nostra newsletter.
Notizie

Da Ripple a The Big Green DAO: come i progetti di criptovaluta contribuiscono alla beneficenza

Esploriamo le iniziative che sfruttano il potenziale delle valute digitali per cause di beneficenza.

Per saperne di più

AlphaFold 3, Med-Gemini e altri: il modo in cui l'intelligenza artificiale trasforma l'assistenza sanitaria nel 2024

L'intelligenza artificiale si manifesta in vari modi nel settore sanitario, dalla scoperta di nuove correlazioni genetiche al potenziamento dei sistemi chirurgici robotici...

Per saperne di più
Scopri di più
Per saperne di più
Da Circle e Binance ad Avelacom e CryptoStruct: le migliori partnership crypto della settimana
digerire Affari Mercati Software Tecnologia
Da Circle e Binance ad Avelacom e CryptoStruct: le migliori partnership crypto della settimana
Dicembre 13, 2024
Astar Network lancia "Astar Surge", consentendo agli utenti di bloccare ASTR e guadagnare premi
Notizie Tecnologia
Astar Network lancia "Astar Surge", consentendo agli utenti di bloccare ASTR e guadagnare premi
Dicembre 13, 2024
Perché l'approccio completo di Aylab sta cambiando il coinvolgimento degli utenti negli ecosistemi decentralizzati
Opinione Affari Mercati Software Tecnologia
Perché l'approccio completo di Aylab sta cambiando il coinvolgimento degli utenti negli ecosistemi decentralizzati
Dicembre 13, 2024
Lagrange lancia Infinite Proving Layer, espandendo la verifica decentralizzata ai rollup ZK
Notizie Tecnologia
Lagrange lancia Infinite Proving Layer, espandendo la verifica decentralizzata ai rollup ZK
Dicembre 13, 2024
LABORATORI DI CRITTOMERIA PTE. srl.