Hakeri izmanto Facebook pikšķerēšanas ļaunprātīgu programmatūru, lai nozagtu kriptogrāfijas akreditācijas datus, brīdina Trustwave SpiderLabs ziņojums
Īsumā
Trustwave SpiderLabs atklāja kriptogrāfijas akreditācijas datu zādzību ļaunprātīgu programmatūru Ov3r_Stealer, uzsverot kriptovalūtu drošības apdraudējumu ainavas pieaugumu.
Kiberdrošības uzņēmums Trustwave SpiderLabs atklāja a jauna ļaunprātīga programmatūra 3. gada decembra sākumā kampaņas izmeklēšanas laikā Advanced Continual Threat Hunt (ACTH) tika nosaukta par Ov2023r_Stealer.
Ov3r_Stealer ir izstrādājuši ļaunprātīgi dalībnieki, un tas ir izstrādāts ar ļaunu mērķi, lai nozagtu sensitīvus akreditācijas datus un kriptovalūtas makus no nenojaušajiem upuriem un nosūtītu tos uz Telegram kanālu, kuru uzrauga draudu aktieris.
Sākotnējais uzbrukuma vektors tika izsekots maldinošam Facebook darba sludinājums, kas tiek maskēts kā iespēja ieņemt konta vadītāja amatu. Ieinteresētas personas, nenojaušot par gaidāmajiem draudiem, tika pamudinātas noklikšķināt uz reklāmā iegultajām saitēm, novirzot tās uz ļaunprātīgu Discord satura piegādes URL.
“Lai Malvertisement sākotnējā uzbrukuma vektors tiktu realizēts upura vidē, lietotājam būtu jānoklikšķina uz sludinājumā norādītās saites. No turienes tie, izmantojot URL saīsināšanas pakalpojumu, tiks novirzīti uz CDN. Mūsu novērotajos gadījumos novērotais CDN bija cdn.discordapp.com,” pastāstīja Gregs Monsons, Trustwave SpiderLabs kiberdraudu izlūkošanas komandas vadītājs. Metaverse Post.
“No turienes upuris var tikt pievilts, lai lejupielādētu Ov3r_Stealer lietderīgo slodzi. Pēc lejupielādes tā izgūs nākamo slodzi kā Windows vadības paneļa failu (.CPL). Novērotajā gadījumā fails.CPL izveido savienojumu ar GitHub repozitoriju, izmantojot PowerShell skriptu, lai lejupielādētu papildu ļaunprātīgus failus,” piebilda Monsons.
Ir svarīgi atzīmēt, ka ļaunprātīgas programmatūras ielāde sistēmā ietver HTML kontrabandu, SVG kontrabandu un LNK failu maskēšanu. Kad ļaunprogrammatūra ir izpildīta, tā izveido noturības mehānismu, izmantojot ieplānoto uzdevumu, un darbojas ik pēc 90 sekundēm.
Pieaugošie kiberdraudi liek veikt proaktīvus drošības pasākumus
Šīs ļaunprātīgās programmatūras izfiltrē sensitīvus datus, piemēram, ģeogrāfisko atrašanās vietu, paroles, kredītkaršu informāciju un daudz ko citu, uz Telegram kanālu, ko uzrauga apdraudējuma dalībnieki, izceļot mainīgo ainavu kiberdraudi un proaktīvu kiberdrošības pasākumu nozīme.
“Lai gan mēs nezinām, kādi draudu izpildītāja nolūki bija vākt informāciju, kas nozagta, izmantojot šo ļaunprātīgo programmatūru, mēs esam redzējuši, ka līdzīga informācija tiek pārdota dažādos Dark Web forumos. Šajās platformās nopirktie un pārdotie akreditācijas dati var būt potenciāls piekļuves vektors izspiedējvīrusu grupām, lai veiktu operācijas," sacīja Trustwave SpiderLabs Gregs Monsons. Metaverse Post.
“Attiecībā uz spekulācijām par mūsu izsekotā apdraudējuma dalībnieka nodomiem potenciālā motivācija varētu būt dažādu pakalpojumu konta akreditācijas datu iegūšana un pēc tam to kopīgošana un/vai pārdošana, izmantojot telegrammu “Zelta pūķa atpūtas telpā”. Lietotājus šajā telegrammu grupā bieži var atrast, pieprasot dažādus pakalpojumus, piemēram, Netflix, Spotify, YouTube un cPanel," viņš piebilda.
Turklāt komandas veiktās izmeklēšanas rezultātā tika atrasti dažādi pseidonīmi, saziņas kanāli un krātuves, ko izmantoja apdraudējuma dalībnieki, tostarp tādi pseidonīmi kā “Liu Kong”, “MR Meta”, MeoBlackA un “John Macollan”, kas tika atrasti tādās grupās kā “Pwn3rzs Chat”. , "Golden Dragon Lounge", "Data Pro" un "KGB Forums".
18. decembrī plkst malware kļuva zināms sabiedrībai un tika ziņots VirusTotal.
"Nenoteiktība par to, kā dati tiks izmantoti, rada dažus sarežģījumus no mazināšanas viedokļa, taču pasākumiem, kas organizācijai jāveic, lai tos novērstu, vajadzētu būt vienādiem. Lietotāju apmācība identificēt potenciāli ļaunprātīgas saites un drošības ielāpu pielietošana ievainojamībām ir viens no pirmajiem soļiem, kas organizācijai jāveic, lai novērstu šādu uzbrukumu," sacīja Monsons.
"Gadījumā, ja tiek atrasta ļaunprātīga programmatūra ar šāda veida iespējām, būtu ieteicams atiestatīt ietekmēto lietotāju paroli, jo šī informācija var tikt izmantota sekundāram uzbrukumam ar lielāku ietekmi," viņš piebilda.
Citai ļaunprogrammatūrai Phemedrone ir visas Ov3r_Stealer īpašības, taču tā ir rakstīta citā valodā (C#). Ieteicams meklēt, izmantojot telemetriju, lai identificētu iespējamo šīs ļaunprātīgās programmatūras un tās variantu izmantošanu sistēmās, neskatoties uz to, ka uzskaitītie IOC, iespējams, nav saistīti ar pašreizējiem ļaunprātīgas programmatūras uzbrukumiem.
Atbildības noraidīšana
Atbilstīgi Uzticības projekta vadlīnijas, lūdzu, ņemiet vērā, ka šajā lapā sniegtā informācija nav paredzēta un to nedrīkst interpretēt kā juridisku, nodokļu, ieguldījumu, finanšu vai jebkāda cita veida padomu. Ir svarīgi ieguldīt tikai to, ko varat atļauties zaudēt, un meklēt neatkarīgu finanšu padomu, ja jums ir šaubas. Lai iegūtu papildinformāciju, iesakām skatīt pakalpojumu sniegšanas noteikumus, kā arī palīdzības un atbalsta lapas, ko nodrošina izdevējs vai reklāmdevējs. MetaversePost ir apņēmies sniegt precīzus, objektīvus pārskatus, taču tirgus apstākļi var tikt mainīti bez iepriekšēja brīdinājuma.
Par Autors
Kumars ir pieredzējis tehnoloģiju žurnālists ar specializāciju AI/ML dinamiskos krustpunktos, mārketinga tehnoloģijās un tādās jaunās jomās kā kriptovalūta, blokķēde un NFTs. Ar vairāk nekā 3 gadu pieredzi šajā nozarē Kumar ir izveidojis pierādītus sasniegumus pārliecinošu stāstījumu veidošanā, ieskatu interviju vadīšanā un visaptverošu ieskatu sniegšanā. Kumar kompetence slēpjas augstas ietekmes satura, tostarp rakstu, ziņojumu un pētījumu publikāciju veidošanā ievērojamām nozares platformām. Ar unikālu prasmju kopumu, kas apvieno tehniskās zināšanas un stāstu stāstīšanu, Kumars izceļas ar sarežģītu tehnoloģisku koncepciju nodošanu dažādām auditorijām skaidrā un saistošā veidā.
Vairāk rakstusKumars ir pieredzējis tehnoloģiju žurnālists ar specializāciju AI/ML dinamiskos krustpunktos, mārketinga tehnoloģijās un tādās jaunās jomās kā kriptovalūta, blokķēde un NFTs. Ar vairāk nekā 3 gadu pieredzi šajā nozarē Kumar ir izveidojis pierādītus sasniegumus pārliecinošu stāstījumu veidošanā, ieskatu interviju vadīšanā un visaptverošu ieskatu sniegšanā. Kumar kompetence slēpjas augstas ietekmes satura, tostarp rakstu, ziņojumu un pētījumu publikāciju veidošanā ievērojamām nozares platformām. Ar unikālu prasmju kopumu, kas apvieno tehniskās zināšanas un stāstu stāstīšanu, Kumars izceļas ar sarežģītu tehnoloģisku koncepciju nodošanu dažādām auditorijām skaidrā un saistošā veidā.