„Trustwave SpiderLabs“ ataskaita įspėja, kad įsilaužėliai naudoja „Facebook“ sukčiavimo kenkėjišką programą, kad pavogtų kriptovaliutų duomenis
Trumpai
„Trustwave SpiderLabs“ aptiko kriptovaliutų kredencialus vagiančią kenkėjišką programą „Ov3r_Stealer“, pabrėždama kriptovaliutų saugumo grėsmių augimą.
Kibernetinio saugumo įmonė Trustwave SpiderLabs atrado a nauja kenkėjiška programa 3 m. gruodžio pradžioje buvo pavadintas Ov2023r_Stealer per išplėstinės nuolatinės grėsmių medžioklės (ACTH) kampanijos tyrimą.
„Ov3r_Stealer“ yra sukurta piktybiškų veikėjų ir sukurta nešvankiam tikslui pavogti slaptus kredencialus ir kriptovaliutų pinigines iš nieko neįtariančių aukų ir išsiųsti juos į telegramos kanalą, kurį stebi grėsmės veikėjas.
Pradinis atakos vektorius buvo atsektas iki apgaulės Facebook darbo skelbimas, maskuojamas kaip galimybė užimti paskyros vadybininko pareigas. Susidomėję asmenys, neįtardami apie gresiančią grėsmę, buvo priversti spustelėti reklamoje įterptas nuorodas ir nukreipti juos į kenkėjišką Discord turinio pristatymo URL.
„Kad „Malvertisement“ pradinės atakos vektorius būtų realizuotas aukos aplinkoje, vartotojas turėtų spustelėti reklamoje pateiktą nuorodą. Iš ten jie būtų nukreipti per URL sutrumpinimo paslaugą į CDN. Mūsų pastebėtais atvejais CDN buvo cdn.discordapp.com“, – sakė Gregas Monsonas, „Trustwave SpiderLabs“ kibernetinės grėsmės žvalgybos komandos vadovas. Metaverse Post.
„Iš ten auka gali būti apgauta, kad atsisiųstų naudingą „Ov3r_Stealer“ apkrovą. Atsisiuntę kitą naudingą krovinį jis nuskaitys kaip „Windows“ valdymo skydelio failą (.CPL). Stebėtu atveju .CPL failas prisijungia prie GitHub saugyklos per PowerShell scenarijų, kad atsisiųstų papildomų kenkėjiškų failų“, – pridūrė Monsonas.
Svarbu pažymėti, kad kenkėjiškų programų įkėlimas į sistemą apima HTML kontrabandą, SVG kontrabandą ir LNK failų maskavimą. Įvykdžius kenkėjišką programą, ji sukuria išlikimo mechanizmą per suplanuotą užduotį ir paleidžiama kas 90 sekundžių.
Augančios kibernetinės grėsmės skatina imtis aktyvių saugumo priemonių
Šios kenkėjiškos programos perkelia slaptus duomenis, pvz., geografinę vietą, slaptažodžius, kredito kortelių informaciją ir daugiau, į telegramos kanalą, kurį stebi grėsmės veikėjai, išryškindami besikeičiančią aplinką. grėsmės kibernetiniai ir aktyvių kibernetinio saugumo priemonių svarbą.
„Nors mes nežinome apie grėsmės veikėjo ketinimus rinkti informaciją, pavogtą per šią kenkėjišką programą, matėme, kad panaši informacija buvo parduodama įvairiuose „Dark Web“ forumuose. Šiose platformose nupirkti ir parduoti kredencialai gali būti potencialus prieigos vektorius išpirkos reikalaujančių programų grupėms vykdyti operacijas“, – sakė „Trustwave SpiderLabs“ darbuotojas Gregas Monsonas. Metaverse Post.
„Kalbant apie spėliones apie mūsų sekamo grėsmės veikėjo ketinimus, galima motyvacija galėtų būti įvairių paslaugų paskyros kredencialų surinkimas ir jų bendrinimas ir (arba) pardavimas per telegramą „Auksinio drakono poilsio erdvėje“. Šios telegramų grupės naudotojai dažnai gali būti prašomi įvairių paslaugų, tokių kaip „Netflix“, „Spotify“, „YouTube“ ir „cPanel“, – pridūrė jis.
Be to, komandos atliktas tyrimas atvedė prie įvairių slapyvardžių, komunikacijos kanalų ir saugyklų, kurias naudojo grėsmės veikėjai, įskaitant tokius slapyvardžius kaip „Liu Kong“, „MR Meta“, „MeoBlackA“ ir „John Macollan“, kurie buvo rasti tokiose grupėse kaip „Pwn3rzs Chat“. , „Golden Dragon Lounge“, „Data Pro“ ir „KGB forumai“.
Gruodžio 18 d kenkėjiška programa tapo žinoma visuomenei ir buvo pranešta „VirusTotal“.
„Duomenų naudojimo neapibrėžtumas sukelia tam tikrų komplikacijų mažinimo požiūriu, tačiau veiksmai, kurių organizacija turėtų imtis, kad tai ištaisytų, turėtų būti tokie patys. Naudotojų mokymas atpažinti galimai kenksmingas nuorodas ir pažeidžiamumui pritaikyti saugos pataisas yra vienas iš pirmųjų žingsnių, kurių organizacija turėtų imtis, norėdama užkirsti kelią tokiai atakai“, – sakė Monsonas.
„Jei aptinkama tokio tipo kenkėjiška programa, patartina iš naujo nustatyti paveiktų vartotojų slaptažodžius, nes ši informacija gali būti panaudota antrinėje atakoje, turinčioje didesnių pasekmių“, – pridūrė jis.
Kita kenkėjiška programa „Phemedrone“ turi visas „Ov3r_Stealer“ savybes, tačiau yra parašyta kita kalba (C#). Norint nustatyti galimą šios kenkėjiškos programos ir jos variantų naudojimą sistemose, rekomenduojama ieškoti naudojant telemetriją, nepaisant to, kad išvardyti IOC gali būti nesusiję su dabartinėmis kenkėjiškų programų atakomis.
Atsakomybės neigimas
Remdamasi tuo, Pasitikėjimo projekto gairės, atkreipkite dėmesį, kad šiame puslapyje pateikta informacija nėra skirta ir neturėtų būti aiškinama kaip teisinė, mokesčių, investicinė, finansinė ar bet kokia kita konsultacija. Svarbu investuoti tik tai, ką galite sau leisti prarasti, ir, jei turite kokių nors abejonių, kreiptis į nepriklausomą finansinę konsultaciją. Norėdami gauti daugiau informacijos, siūlome peržiūrėti taisykles ir nuostatas bei pagalbos ir palaikymo puslapius, kuriuos pateikia išdavėjas arba reklamuotojas. MetaversePost yra įsipareigojusi teikti tikslias, nešališkas ataskaitas, tačiau rinkos sąlygos gali keistis be įspėjimo.
Apie autorių
Kumaras yra patyręs technologijų žurnalistas, kurio specializacija yra dinamiškos AI/ML sankirtos, rinkodaros technologijos ir naujos sritys, tokios kaip kriptovaliutos, blokų grandinės ir NFTs. Turėdamas daugiau nei 3 metų patirtį šioje pramonėje, Kumaras sukūrė įtikinamus pasakojimus, veda įžvalgius interviu ir pateikia išsamias įžvalgas. „Kumar“ patirtis yra susijusi su didelio poveikio turinio kūrimu, įskaitant straipsnius, ataskaitas ir mokslinių tyrimų publikacijas žinomoms pramonės platformoms. Turėdamas unikalų įgūdžių rinkinį, kuriame derinamos techninės žinios ir pasakojimas, Kumaras puikiai perteikia sudėtingas technologines koncepcijas įvairioms auditorijoms aiškiai ir patraukliai.
Daugiau straipsniųKumaras yra patyręs technologijų žurnalistas, kurio specializacija yra dinamiškos AI/ML sankirtos, rinkodaros technologijos ir naujos sritys, tokios kaip kriptovaliutos, blokų grandinės ir NFTs. Turėdamas daugiau nei 3 metų patirtį šioje pramonėje, Kumaras sukūrė įtikinamus pasakojimus, veda įžvalgius interviu ir pateikia išsamias įžvalgas. „Kumar“ patirtis yra susijusi su didelio poveikio turinio kūrimu, įskaitant straipsnius, ataskaitas ir mokslinių tyrimų publikacijas žinomoms pramonės platformoms. Turėdamas unikalų įgūdžių rinkinį, kuriame derinamos techninės žinios ir pasakojimas, Kumaras puikiai perteikia sudėtingas technologines koncepcijas įvairioms auditorijoms aiškiai ir patraukliai.