Hackers gebruiken Facebook-phishing-malware om cryptogegevens te stelen, waarschuwt Trustwave SpiderLabs Report
In het kort
Trustwave SpiderLabs ontdekte de cryptocredential-stelende malware Ov3r_Stealer, wat de opkomst van het landschap van crypto-beveiligingsbedreigingen benadrukt.
Cyberbeveiligingsbedrijf Trustwave SpiderLabs ontdekte een nieuwe malware genaamd Ov3r_Stealer tijdens een Advanced Continual Threat Hunt (ACTH) campagneonderzoek begin december 2023.
Ov3r_Stealer is gemaakt door kwaadwillende actoren en is ontworpen met een snode bedoeling om gevoelige inloggegevens en cryptocurrency-portefeuilles van nietsvermoedende slachtoffers te stelen en deze naar een Telegram-kanaal te sturen dat door de bedreigingsactor wordt gecontroleerd.
De aanvankelijke aanvalsvector was terug te voeren op een bedrieger Facebook vacature die zich voordoet als een kans op een functie als accountmanager. Geïntrigeerde personen, die niets vermoedden van de dreigende dreiging, werden verleid om op links in de advertentie te klikken, waardoor ze werden omgeleid naar een kwaadaardige Discord-URL voor het leveren van inhoud.
“Om de initiële aanvalsvector van Malvertisement in de omgeving van een slachtoffer te kunnen realiseren, zou de gebruiker op de link in de advertentie moeten klikken. Van daaruit zouden ze via een URL-verkortingsservice worden omgeleid naar een CDN. Het CDN dat werd waargenomen in de gevallen die we observeerden was cdn.discordapp.com,” vertelde Greg Monson, Trustwave SpiderLabs Cyber Threat Intelligence Team Manager. Metaverse Post.
“Van daaruit kan het slachtoffer worden misleid om de payload van Ov3r_Stealer te downloaden. Eenmaal gedownload, wordt de volgende payload opgehaald als een Windows Control Panel-bestand (.CPL). In het waargenomen geval maakt het .CPL-bestand verbinding met een GitHub-repository via een PowerShell-script om extra kwaadaardige bestanden te downloaden, ”voegde Monson toe.
Het is belangrijk op te merken dat het laden van de malware op het systeem HTML-smokkel, SVG-smokkel en maskering van LNK-bestanden omvat. Eenmaal uitgevoerd, creëert de malware een persistentiemechanisme via een geplande taak en wordt deze elke 90 seconden uitgevoerd.
Toenemende cyberdreigingen vragen om proactieve beveiligingsmaatregelen
Deze malware exfiltreert gevoelige gegevens zoals geolocatie, wachtwoorden, creditcardgegevens en meer naar een Telegram-kanaal dat wordt bewaakt door bedreigingsactoren, waardoor het evoluerende landschap van cyber bedreigingen en het belang van proactieve cyberbeveiligingsmaatregelen.
“Hoewel we ons niet bewust zijn van de bedoelingen van de bedreigingsacteur achter het verzamelen van de informatie die via deze malware is gestolen, hebben we soortgelijke informatie zien worden verkocht op verschillende Dark Web-forums. Inloggegevens die op deze platforms worden gekocht en verkocht, kunnen een potentiële toegangsvector zijn voor ransomware-groepen om operaties uit te voeren”, vertelde Greg Monson van Trustwave SpiderLabs. Metaverse Post.
“Wat betreft het speculeren over de bedoelingen van de bedreigingsacteur die we volgden, zou een mogelijke motivatie het verzamelen van accountgegevens voor verschillende diensten kunnen zijn en deze vervolgens delen en/of verkopen via Telegram in de 'Golden Dragon Lounge'. Gebruikers in deze telegramgroep zijn vaak te vinden op zoek naar verschillende diensten, zoals Netflix, Spotify, YouTube en cPanel”, voegde hij eraan toe.
Bovendien leidde het onderzoek door het team naar verschillende aliassen, communicatiekanalen en opslagplaatsen die door de bedreigingsactoren werden gebruikt, waaronder aliassen als 'Liu Kong', 'MR Meta', MeoBlackA en 'John Macollan' gevonden in groepen als 'Pwn3rzs Chat'. ,' 'Golden Dragon Lounge', 'Data Pro' en 'KGB-forums.'
Op 18 december heeft de malware werd bekend bij het publiek en werd gerapporteerd in VirusTotal.
“De onzekerheid over de manier waarop de gegevens zullen worden gebruikt, voegt wat complicaties toe vanuit het oogpunt van mitigatie, maar de stappen die een organisatie moet nemen om dit te verhelpen moeten dezelfde zijn. Het trainen van gebruikers om potentieel kwaadaardige links te identificeren en het toepassen van beveiligingspatches voor kwetsbaarheden is een van de eerste stappen die een organisatie moet nemen om een aanval als deze te voorkomen”, aldus Monson.
“In het geval dat malware wordt gevonden met dit soort mogelijkheden, zou het raadzaam zijn om het wachtwoord van de getroffen gebruikers opnieuw in te stellen, omdat die informatie zou kunnen worden gebruikt in een secundaire aanval met grotere gevolgen”, voegde hij eraan toe.
Een andere malware, Phemedrone, deelt alle kenmerken van Ov3r_Stealer, maar is geschreven in een andere taal (C#). Het wordt aanbevolen om via telemetrie te zoeken naar mogelijk gebruik van deze malware en zijn varianten in systemen, ondanks dat de genoemde IOC's mogelijk niet relevant zijn voor de huidige malware-aanvallen.
Disclaimer
In lijn met de Richtlijnen voor vertrouwensprojectenHoud er rekening mee dat de informatie op deze pagina niet bedoeld is en niet mag worden geïnterpreteerd als juridisch, fiscaal, beleggings-, financieel of enige andere vorm van advies. Het is belangrijk om alleen te beleggen wat u zich kunt veroorloven te verliezen en onafhankelijk financieel advies in te winnen als u twijfels heeft. Voor meer informatie raden wij u aan de algemene voorwaarden en de hulp- en ondersteuningspagina's van de uitgever of adverteerder te raadplegen. MetaversePost streeft naar nauwkeurige, onpartijdige berichtgeving, maar de marktomstandigheden kunnen zonder voorafgaande kennisgeving worden gewijzigd.
Over de auteur
Kumar is een ervaren technologiejournalist met een specialisatie in de dynamische kruispunten van AI/ML, marketingtechnologie en opkomende velden zoals crypto, blockchain en NFTs. Met meer dan 3 jaar ervaring in de industrie heeft Kumar een bewezen staat van dienst opgebouwd in het maken van boeiende verhalen, het uitvoeren van inzichtelijke interviews en het leveren van uitgebreide inzichten. Kumars expertise ligt in het produceren van impactvolle content, waaronder artikelen, rapporten en onderzoekspublicaties voor prominente industriële platforms. Met een unieke vaardighedenset die technische kennis en storytelling combineert, blinkt Kumar uit in het communiceren van complexe technologische concepten aan diverse doelgroepen op een duidelijke en boeiende manier.
Meer artikelenKumar is een ervaren technologiejournalist met een specialisatie in de dynamische kruispunten van AI/ML, marketingtechnologie en opkomende velden zoals crypto, blockchain en NFTs. Met meer dan 3 jaar ervaring in de industrie heeft Kumar een bewezen staat van dienst opgebouwd in het maken van boeiende verhalen, het uitvoeren van inzichtelijke interviews en het leveren van uitgebreide inzichten. Kumars expertise ligt in het produceren van impactvolle content, waaronder artikelen, rapporten en onderzoekspublicaties voor prominente industriële platforms. Met een unieke vaardighedenset die technische kennis en storytelling combineert, blinkt Kumar uit in het communiceren van complexe technologische concepten aan diverse doelgroepen op een duidelijke en boeiende manier.