ハッカーは暗号認証情報を盗むためにFacebookフィッシングマルウェアを使用しているとTrustwave SpiderLabsレポートが警告
簡単に言えば
Trustwave SpiderLabs は、暗号通貨認証情報を盗むマルウェア Ov3r_Stealer を発見し、暗号通貨セキュリティの脅威の増加を浮き彫りにしました。
サイバーセキュリティ会社 トラストウェーブ スパイダーラボ 発見した 新しいマルウェア 3 年 2023 月初旬の Advanced Continual Threat Hunt (ACTH) キャンペーンの調査中に、OvXNUMXr_Stealer と名付けられました。
Ov3r_Stealer は悪意のある攻撃者によって作成され、無防備な被害者から機密認証情報と暗号通貨ウォレットを盗み、脅威攻撃者が監視する Telegram チャネルに送信するという極悪な目的を持って設計されています。
最初の攻撃ベクトルは、欺瞞的なものに遡ります。 Facebook アカウントマネージャーのポジションの機会を装った求人広告。差し迫った脅威に気付かず、興味をそそられた個人は、広告内に埋め込まれたリンクをクリックするよう誘導され、悪意のある Discord コンテンツ配信 URL にリダイレクトされました。
「マルバタイズメントの最初の攻撃ベクトルが被害者の環境で実現するには、ユーザーは広告で提供されているリンクをクリックする必要があります。そこから、URL 短縮サービスを介して CDN にリダイレクトされます。私たちが観察したインスタンスで観察された CDN は cdn.discordapp.com でした」と Trustwave SpiderLabs サイバー脅威インテリジェンス チーム マネージャーの Greg Monson 氏は語ります。 Metaverse Post.
「そこから、被害者はだまされて Ov3r_Stealer のペイロードをダウンロードする可能性があります。ダウンロードが完了すると、次のペイロードが Windows コントロール パネル ファイル (.CPL) として取得されます。観察されたインスタンスでは、.CPL ファイルは PowerShell スクリプトを通じて GitHub リポジトリに接続し、追加の悪意のあるファイルをダウンロードします」とモンソン氏は付け加えました。
システムへのマルウェアのロードには、HTML 密輸、SVG 密輸、LNK ファイル マスカレードが含まれることに注意することが重要です。マルウェアは実行されると、スケジュールされたタスクを通じて永続化メカニズムを作成し、90 秒ごとに実行されます。
増大するサイバー脅威によりプロアクティブなセキュリティ対策が求められる
これらのマルウェアは、位置情報、パスワード、クレジット カードの詳細などの機密データを、脅威アクターが監視する Telegram チャネルに流出させ、進化する状況を浮き彫りにしています。 サイバー脅威 そして積極的なサイバーセキュリティ対策の重要性。
「このマルウェアを介して盗まれた情報を収集する背後に攻撃者がどのような意図を持っていたのかはわかりませんが、同様の情報がさまざまなダークウェブ フォーラムで販売されているのを確認しています。これらのプラットフォームで売買される認証情報は、ランサムウェア グループが活動を行うための潜在的なアクセス経路となる可能性があります」と Trustwave SpiderLabs のグレッグ モンソン氏は語った Metaverse Post.
「私たちが追跡していた攻撃者の意図についての推測に関しては、潜在的な動機としては、さまざまなサービスのアカウント認証情報を収集し、それを「ゴールデン ドラゴン ラウンジ」の Telegram 経由で共有および/または販売することが考えられます。この電報グループのユーザーは、Netflix、Spotify、YouTube、cPanel などのさまざまなサービスを勧誘していることがよくあります」と彼は付け加えた。
さらに、チームによる調査により、「Pwn3rzs Chat」などのグループで見つかった「Liu Kong」、「MR Meta」、MeoBlackA、「John Macollan」などのエイリアスを含む、脅威アクターが使用するさまざまなエイリアス、通信チャネル、リポジトリが判明しました。 、「ゴールデン ドラゴン ラウンジ」、「データ プロ」、「KGB フォーラム」。
12月の18では、 マルウェア このことは一般に知られるようになり、VirusTotal で報告されました。
「データがどのように使用されるかが不確実であるため、緩和の観点からは若干の複雑さが生じますが、組織が修復するために取るべき手順は同じであるはずです。潜在的に悪意のあるリンクを特定するようにユーザーをトレーニングし、脆弱性に対してセキュリティ パッチを適用することは、このような攻撃を防ぐために組織が取るべき最初のステップの 1 つです」とモンソン氏は述べています。
「この種の機能を備えたマルウェアが見つかった場合、その情報がより大きな影響を与える二次攻撃に使用される可能性があるため、影響を受けるユーザーのパスワードをリセットすることをお勧めします。」と同氏は付け加えた。
別のマルウェアである Phemedrone は、Ov3r_Stealer の特徴をすべて共有していますが、異なる言語 (C#) で書かれています。リストされている IOC が現在のマルウェア攻撃に関連していない可能性があるにもかかわらず、テレメトリを調べてシステム内でこのマルウェアとその亜種が使用される可能性を特定することをお勧めします。
免責事項
に沿って トラストプロジェクトのガイドライン, このページで提供される情報は、法律、税金、投資、財務、またはその他の形式のアドバイスを目的としたものではなく、そのように解釈されるべきではないことに注意してください。 損失しても許容できる金額のみを投資し、疑問がある場合は独立した財務上のアドバイスを求めることが重要です。 詳細については、利用規約のほか、発行者または広告主が提供するヘルプおよびサポート ページを参照することをお勧めします。 MetaversePost は正確で公平なレポートに努めていますが、市場の状況は予告なく変更される場合があります。
著者について
Kumar は経験豊富なテクノロジー ジャーナリストであり、AI/ML、マーケティング テクノロジー、および暗号、ブロックチェーン、 NFTs. 業界で 3 年以上の経験を持つクマールは、説得力のある物語を作成し、洞察力に富んだインタビューを実施し、包括的な洞察を提供するという実績を確立してきました。 Kumar の専門知識は、著名な業界プラットフォーム向けの記事、レポート、研究出版物など、影響力の高いコンテンツの作成にあります。 技術的な知識とストーリーテリングを組み合わせた独自のスキルセットを備えたクマールは、複雑な技術概念を明確かつ魅力的な方法で多様な聴衆に伝えることに優れています。
より多くの記事
Kumar は経験豊富なテクノロジー ジャーナリストであり、AI/ML、マーケティング テクノロジー、および暗号、ブロックチェーン、 NFTs. 業界で 3 年以上の経験を持つクマールは、説得力のある物語を作成し、洞察力に富んだインタビューを実施し、包括的な洞察を提供するという実績を確立してきました。 Kumar の専門知識は、著名な業界プラットフォーム向けの記事、レポート、研究出版物など、影響力の高いコンテンツの作成にあります。 技術的な知識とストーリーテリングを組み合わせた独自のスキルセットを備えたクマールは、複雑な技術概念を明確かつ魅力的な方法で多様な聴衆に伝えることに優れています。
