Hakerzy wykorzystują złośliwe oprogramowanie wyłudzające informacje na Facebooku do kradzieży danych uwierzytelniających kryptowaluty – ostrzega raport Trustwave SpiderLabs
W skrócie
Trustwave SpiderLabs odkryło złośliwe oprogramowanie Ov3r_Stealer kradnące dane uwierzytelniające, co podkreśla wzrost krajobrazu zagrożeń bezpieczeństwa kryptograficznego.
Firma zajmująca się cyberbezpieczeństwem Trustwave SpiderLabs odkrył nowe złośliwe oprogramowanie nazwany Ov3r_Stealer podczas dochodzenia w sprawie kampanii Advanced Continual Threat Hunt (ACTH) na początku grudnia 2023 r.
Ov3r_Stealer jest tworzony przez złośliwych aktorów i ma nikczemny cel polegający na kradzieży poufnych danych uwierzytelniających i portfeli kryptowalut od niczego niepodejrzewających ofiar i wysyłaniu ich na kanał Telegramu monitorowany przez cyberprzestępcę.
Początkowy wektor ataku został powiązany z oszustwem Facebook ogłoszenie o pracę udające szansę na stanowisko Account Managera. Zaintrygowane osoby, nie spodziewające się zbliżającego się zagrożenia, były zachęcane do klikania linków umieszczonych w reklamie, przekierowujących je do złośliwego adresu URL dostarczania treści Discord.
„Aby początkowy wektor ataku złośliwej reklamy mógł zostać zrealizowany w środowisku ofiary, użytkownik musiałby kliknąć łącze podane w reklamie. Stamtąd zostaną przekierowani za pośrednictwem usługi skracania adresów URL do sieci CDN. CDN zaobserwowany w przypadkach, które zaobserwowaliśmy, to cdn.discordapp.com” – powiedział Greg Monson, menedżer zespołu ds. wywiadu cyberzagrożeń Trustwave SpiderLabs Metaverse Post.
„Stamtąd ofiara może zostać oszukana w celu pobrania ładunku Ov3r_Stealer. Po pobraniu pobierze następny ładunek w postaci pliku Panelu sterowania systemu Windows (.CPL). W zaobserwowanym przypadku plik .CPL łączy się z repozytorium GitHub za pośrednictwem skryptu PowerShell w celu pobrania dodatkowych złośliwych plików” – dodał Monson.
Należy pamiętać, że ładowanie szkodliwego oprogramowania do systemu obejmuje przemyt HTML, przemyt SVG i maskowanie plików LNK. Po uruchomieniu złośliwe oprogramowanie tworzy mechanizm trwałości poprzez zaplanowane zadanie i uruchamia się co 90 sekund.
Rosnące zagrożenia cybernetyczne wymagają proaktywnych środków bezpieczeństwa
Te złośliwe oprogramowanie eksfiltruje wrażliwe dane, takie jak geolokalizacja, hasła, dane kart kredytowych i inne, do kanału Telegramu monitorowanego przez cyberprzestępców, co podkreśla ewoluujący krajobraz zagrożenia cybernetyczne oraz znaczenie proaktywnych środków cyberbezpieczeństwa.
„Chociaż nie jesteśmy świadomi zamiarów, jakie przyświecał podmiotowi zagrażającemu, gromadząc informacje skradzione za pośrednictwem tego złośliwego oprogramowania, zaobserwowaliśmy, że podobne informacje były sprzedawane na różnych forach Dark Web. Dane uwierzytelniające kupowane i sprzedawane na tych platformach mogą stanowić potencjalny wektor dostępu dla grup zajmujących się oprogramowaniem ransomware do prowadzenia operacji” – powiedział Greg Monson z Trustwave SpiderLabs Metaverse Post.
„Jeśli chodzi o spekulacje na temat zamiarów śledzonego przez nas ugrupowania zagrażającego, potencjalną motywacją może być zbieranie danych uwierzytelniających konta w różnych usługach, a następnie udostępnianie i/lub sprzedaż ich za pośrednictwem telegramu w salonie Golden Dragon. Użytkownicy z tej grupy telegramów często zamawiają różne usługi, takie jak Netflix, Spotify, YouTube i cPanel” – dodał.
Co więcej, dochodzenie przeprowadzone przez zespół doprowadziło do odkrycia różnych aliasów, kanałów komunikacyjnych i repozytoriów wykorzystywanych przez cyberprzestępców, w tym aliasów takich jak „Liu Kong”, „MR Meta”, MeoBlackA i „John Macollan” znalezionych w grupach takich jak „Pwn3rzs Chat”. ”, „Golden Dragon Lounge”, „Data Pro” i „Fora KGB”.
18 grudnia malware stał się znany opinii publicznej i został zgłoszony w VirusTotal.
„Niepewność co do sposobu wykorzystania danych powoduje pewne komplikacje z punktu widzenia łagodzenia skutków, ale kroki, które organizacja powinna podjąć w celu zaradzenia problemom, powinny być takie same. Szkolenie użytkowników w zakresie identyfikowania potencjalnie złośliwych łączy i stosowanie poprawek zabezpieczeń w przypadku luk to jeden z pierwszych kroków, jakie powinna podjąć organizacja, aby zapobiec takiemu atakowi” – stwierdził Monson.
„W przypadku wykrycia złośliwego oprogramowania wyposażonego w tego typu możliwości zaleca się zresetowanie haseł użytkowników, których to dotyczy, ponieważ informacje te mogą zostać wykorzystane we wtórnym ataku z poważniejszymi konsekwencjami” – dodał.
Inny szkodliwy program, Phemedrone, ma wszystkie cechy Ov3r_Stealer, ale jest napisany w innym języku (C#). Zaleca się przeszukiwanie danych telemetrycznych w celu zidentyfikowania potencjalnego wykorzystania tego złośliwego oprogramowania i jego wariantów w systemach, mimo że wymienione IOC prawdopodobnie nie mają związku z bieżącymi atakami złośliwego oprogramowania.
Odpowiedzialność
Zgodnie z Zaufaj wytycznym projektu, należy pamiętać, że informacje zawarte na tej stronie nie mają na celu i nie powinny być interpretowane jako porady prawne, podatkowe, inwestycyjne, finansowe lub jakiekolwiek inne formy porad. Ważne jest, aby inwestować tylko tyle, na utratę czego możesz sobie pozwolić, a w przypadku jakichkolwiek wątpliwości zasięgnąć niezależnej porady finansowej. Aby uzyskać więcej informacji, sugerujemy zapoznać się z warunkami oraz stronami pomocy i wsparcia udostępnianymi przez wydawcę lub reklamodawcę. MetaversePost zobowiązuje się do sporządzania dokładnych i bezstronnych raportów, jednakże warunki rynkowe mogą ulec zmianie bez powiadomienia.
O autorze
Kumar jest doświadczonym dziennikarzem technicznym ze specjalizacją w dynamicznych skrzyżowaniach AI/ML, technologii marketingowej i nowych dziedzin, takich jak kryptowaluty, blockchain i NFTS. Dzięki ponad 3-letniemu doświadczeniu w branży Kumar zdobył udokumentowane doświadczenie w tworzeniu fascynujących narracji, przeprowadzaniu wnikliwych wywiadów i dostarczaniu kompleksowych spostrzeżeń. Doświadczenie Kumara polega na tworzeniu treści o dużym wpływie, w tym artykułów, raportów i publikacji badawczych dla czołowych platform branżowych. Dzięki unikalnemu zestawowi umiejętności, który łączy wiedzę techniczną i opowiadanie historii, Kumar przoduje w przekazywaniu złożonych koncepcji technologicznych różnym odbiorcom w jasny i wciągający sposób.
Więcej artykułów
Kumar jest doświadczonym dziennikarzem technicznym ze specjalizacją w dynamicznych skrzyżowaniach AI/ML, technologii marketingowej i nowych dziedzin, takich jak kryptowaluty, blockchain i NFTS. Dzięki ponad 3-letniemu doświadczeniu w branży Kumar zdobył udokumentowane doświadczenie w tworzeniu fascynujących narracji, przeprowadzaniu wnikliwych wywiadów i dostarczaniu kompleksowych spostrzeżeń. Doświadczenie Kumara polega na tworzeniu treści o dużym wpływie, w tym artykułów, raportów i publikacji badawczych dla czołowych platform branżowych. Dzięki unikalnemu zestawowi umiejętności, który łączy wiedzę techniczną i opowiadanie historii, Kumar przoduje w przekazywaniu złożonych koncepcji technologicznych różnym odbiorcom w jasny i wciągający sposób.
