Gli hacker utilizzano il malware di phishing di Facebook per rubare le credenziali crittografiche, avverte il rapporto Trustwave SpiderLabs
In Breve
Trustwave SpiderLabs ha scoperto il malware Ov3r_Stealer che ruba credenziali crittografiche, evidenziando l'aumento del panorama delle minacce alla sicurezza crittografica.
Azienda di sicurezza informatica Trustwave Spider Labs scoperto un nuovo malware chiamato Ov3r_Stealer durante un'indagine sulla campagna Advanced Continual Threat Hunt (ACTH) all'inizio di dicembre 2023.
Ov3r_Stealer è realizzato da attori malintenzionati ed è progettato con lo scopo nefasto di rubare credenziali sensibili e portafogli di criptovaluta da vittime ignare e inviarli a un canale Telegram monitorato dall'autore della minaccia.
Il vettore di attacco iniziale è stato ricondotto ad un ingannevole Facebook annuncio di lavoro mascherato da opportunità per una posizione di Account Manager. Le persone incuriosite, ignare della minaccia imminente, sono state indotte a fare clic sui collegamenti incorporati nell'annuncio, reindirizzandole a un URL di distribuzione di contenuti Discord dannoso.
“Affinché il vettore di attacco iniziale Malvertisement possa essere realizzato nell'ambiente della vittima, l'utente dovrebbe cliccare sul collegamento fornito nell'annuncio. Da lì, verrebbero reindirizzati tramite un servizio di abbreviazione URL a un CDN. Il CDN osservato nei casi da noi osservati era cdn.discordapp.com", ha dichiarato Greg Monson, team manager di intelligence sulle minacce informatiche di Trustwave SpiderLabs Metaverse Post.
“Da lì, la vittima potrebbe essere indotta a scaricare il payload di Ov3r_Stealer. Una volta scaricato, recupererà il payload successivo come file del pannello di controllo di Windows (.CPL). Nell’istanza osservata, il file.CPL si connette a un repository GitHub tramite uno script PowerShell per scaricare ulteriori file dannosi”, ha aggiunto Monson.
È importante notare che il caricamento del malware nel sistema include il contrabbando HTML, il contrabbando SVG e il mascheramento di file LNK. Una volta eseguito, il malware crea un meccanismo di persistenza tramite un'attività pianificata ed viene eseguito ogni 90 secondi.
Le crescenti minacce informatiche richiedono misure di sicurezza proattive
Questi malware esfiltrano dati sensibili come geolocalizzazione, password, dettagli di carte di credito e altro su un canale Telegram monitorato dagli autori delle minacce, evidenziando il panorama in evoluzione di minacce informatiche e l’importanza di misure proattive di sicurezza informatica.
“Anche se non siamo a conoscenza delle intenzioni dell'autore della minaccia nel raccogliere le informazioni rubate tramite questo malware, abbiamo visto informazioni simili vendute su vari forum del Dark Web. Le credenziali acquistate e vendute su queste piattaforme possono essere un potenziale vettore di accesso per consentire ai gruppi di ransomware di condurre operazioni", ha dichiarato Greg Monson di Trustwave SpiderLabs Metaverse Post.
"Per quanto riguarda le speculazioni sulle intenzioni dell'autore della minaccia che stavamo monitorando, una potenziale motivazione potrebbe essere quella di raccogliere credenziali di account su vari servizi e quindi condividerle e/o venderle tramite Telegram nella 'Golden Dragon Lounge'. Gli utenti di questo gruppo Telegram si trovano spesso a richiedere diversi servizi, come Netflix, Spotify, YouTube e cPanel", ha aggiunto.
Inoltre, l'indagine condotta dal team ha portato alla scoperta di vari alias, canali di comunicazione e archivi utilizzati dagli autori delle minacce, inclusi alias come "Liu Kong", "MR Meta", MeoBlackA e "John Macollan" trovati in gruppi come "Pwn3rzs Chat". ", "Golden Dragon Lounge", "Data Pro" e "Forum KGB".
Il 18 dicembre, il il malware è diventato noto al pubblico ed è stato segnalato in VirusTotal.
“L’incertezza su come verranno utilizzati i dati aggiunge alcune complicazioni dal punto di vista della mitigazione, ma i passaggi che un’organizzazione dovrebbe intraprendere per porre rimedio dovrebbero essere gli stessi. Formare gli utenti affinché identifichino collegamenti potenzialmente dannosi e applichino patch di sicurezza per le vulnerabilità è uno dei primi passi che un’organizzazione dovrebbe intraprendere per prevenire un attacco come questo”, ha affermato Monson.
"Nel caso in cui venisse trovato un malware con questo tipo di capacità, sarebbe consigliabile reimpostare la password degli utenti interessati, poiché tali informazioni potrebbero essere utilizzate in un attacco secondario con implicazioni maggiori", ha aggiunto.
Un altro malware, Phmedrone, condivide tutte le caratteristiche di Ov3r_Stealer ma è scritto in un linguaggio diverso (C#). Si consiglia di eseguire la ricerca attraverso la telemetria per identificare qualsiasi potenziale utilizzo di questo malware e delle sue varianti nei sistemi nonostante gli IOC elencati potrebbero non essere rilevanti per gli attuali attacchi malware.
Negazione di responsabilità
In linea con la Linee guida del progetto Trust, si prega di notare che le informazioni fornite in questa pagina non intendono essere e non devono essere interpretate come consulenza legale, fiscale, di investimento, finanziaria o di qualsiasi altra forma. È importante investire solo ciò che puoi permetterti di perdere e chiedere una consulenza finanziaria indipendente in caso di dubbi. Per ulteriori informazioni, suggeriamo di fare riferimento ai termini e alle condizioni nonché alle pagine di aiuto e supporto fornite dall'emittente o dall'inserzionista. MetaversePost si impegna a fornire report accurati e imparziali, ma le condizioni di mercato sono soggette a modifiche senza preavviso.
Circa l'autore
Kumar è un giornalista tecnologico esperto con una specializzazione nelle intersezioni dinamiche di AI/ML, tecnologia di marketing e campi emergenti come criptovaluta, blockchain e NFTsCon oltre 3 anni di esperienza nel settore, Kumar ha consolidato una comprovata esperienza nella creazione di narrazioni avvincenti, nella conduzione di interviste approfondite e nella fornitura di approfondimenti completi. L'esperienza di Kumar risiede nella produzione di contenuti ad alto impatto, tra cui articoli, report e pubblicazioni di ricerca per importanti piattaforme del settore. Con un set di competenze unico che combina conoscenza tecnica e narrazione, Kumar eccelle nel comunicare concetti tecnologici complessi a pubblici diversi in modo chiaro e coinvolgente.
Altri articoliKumar è un giornalista tecnologico esperto con una specializzazione nelle intersezioni dinamiche di AI/ML, tecnologia di marketing e campi emergenti come criptovaluta, blockchain e NFTsCon oltre 3 anni di esperienza nel settore, Kumar ha consolidato una comprovata esperienza nella creazione di narrazioni avvincenti, nella conduzione di interviste approfondite e nella fornitura di approfondimenti completi. L'esperienza di Kumar risiede nella produzione di contenuti ad alto impatto, tra cui articoli, report e pubblicazioni di ricerca per importanti piattaforme del settore. Con un set di competenze unico che combina conoscenza tecnica e narrazione, Kumar eccelle nel comunicare concetti tecnologici complessi a pubblici diversi in modo chiaro e coinvolgente.