Hackers estão usando malware de phishing do Facebook para roubar credenciais criptográficas, alerta relatório Trustwave SpiderLabs
Em Breve
Trustwave SpiderLabs descobriu o malware Ov3r_Stealer para roubo de credenciais de criptografia, destacando o aumento no cenário de ameaças à segurança de criptografia.
Empresa de segurança cibernética Trustwave Spider Labs descobriu um novo malware nomeado Ov3r_Stealer durante uma investigação da campanha Advanced Continual Threat Hunt (ACTH) no início de dezembro de 2023.
Ov3r_Stealer é criado por agentes mal-intencionados e projetado com o propósito nefasto de roubar credenciais confidenciais e carteiras de criptomoedas de vítimas inocentes e enviá-las para um canal do Telegram monitorado pelo agente da ameaça.
O vetor de ataque inicial foi rastreado até um enganoso Facebook anúncio de emprego disfarçado de oportunidade para um cargo de gerente de contas. Indivíduos intrigados, sem suspeitar da ameaça iminente, foram induzidos a clicar em links incorporados no anúncio, redirecionando-os para um URL malicioso de entrega de conteúdo do Discord.
“Para que o vetor de ataque inicial do Malvertisement fosse realizado no ambiente da vítima, o usuário teria que clicar no link fornecido no anúncio. A partir daí, eles seriam redirecionados por meio de um serviço de encurtamento de URL para um CDN. O CDN observado nos casos que observamos foi cdn.discordapp.com”, disse Greg Monson, gerente da equipe de inteligência de ameaças cibernéticas da Trustwave SpiderLabs. Metaverse Post.
“A partir daí, a vítima pode ser enganada e fazer o download da carga útil do Ov3r_Stealer. Depois de baixado, ele recuperará a próxima carga como um arquivo do painel de controle do Windows (.CPL). Na instância observada, o arquivo .CPL se conecta a um repositório GitHub por meio de um script do PowerShell para baixar arquivos maliciosos adicionais”, acrescentou Monson.
É importante observar que carregar o malware no sistema inclui contrabando de HTML, contrabando de SVG e mascaramento de arquivo LNK. Uma vez executado, o malware cria um mecanismo de persistência por meio de uma tarefa agendada e é executado a cada 90 segundos.
Crescentes ameaças cibernéticas estimulam medidas proativas de segurança
Esses malwares exfiltram dados confidenciais como geolocalização, senhas, detalhes de cartão de crédito e muito mais para um canal do Telegram monitorado por agentes de ameaças, destacando o cenário em evolução de ameaças cibernéticas e a importância de medidas proativas de cibersegurança.
“Embora não estejamos cientes das intenções do autor da ameaça ao coletar as informações roubadas por meio deste malware, vimos informações semelhantes serem vendidas em vários fóruns da Dark Web. As credenciais compradas e vendidas nessas plataformas podem ser um vetor de acesso potencial para grupos de ransomware conduzirem operações”, disse Greg Monson, da Trustwave SpiderLabs. Metaverse Post.
“Com relação à especulação sobre as intenções do ator de ameaça que estávamos rastreando, uma motivação potencial poderia ser a coleta de credenciais de contas para vários serviços e depois compartilhá-las e/ou vendê-las via Telegram no ‘Golden Dragon Lounge’. Os usuários deste grupo de telegramas muitas vezes podem ser encontrados solicitando diferentes serviços, como Netflix, Spotify, YouTube e cPanel”, acrescentou.
Além disso, a investigação da equipe levou a vários pseudônimos, canais de comunicação e repositórios usados pelos atores da ameaça, incluindo pseudônimos como ‘Liu Kong’, ‘MR Meta’, MeoBlackA e ‘John Macollan’ encontrados em grupos como ‘Pwn3rzs Chat ,' 'Golden Dragon Lounge', 'Data Pro' e 'Fóruns KGB'.
Em 18 de dezembro, o malwares tornou-se conhecido do público e foi relatado no VirusTotal.
“A incerteza de como os dados serão utilizados acrescenta algumas complicações do ponto de vista da mitigação, mas as medidas que uma organização deve tomar para remediar devem ser as mesmas. Treinar os usuários para identificar links potencialmente maliciosos e aplicar patches de segurança para vulnerabilidades é um dos primeiros passos que uma organização deve tomar para evitar um ataque como este”, disse Monson.
“Caso seja encontrado malware com este tipo de capacidade, seria aconselhável redefinir a senha dos usuários afetados, pois essa informação poderia ser utilizada em um ataque secundário com maiores implicações”, acrescentou.
Outro malware, o Phemedrone, compartilha todas as características do Ov3r_Stealer, mas é escrito em uma linguagem diferente (C#). Recomenda-se pesquisar por telemetria para identificar qualquer uso potencial desse malware e suas variantes nos sistemas, apesar dos IOCs listados possivelmente não serem relevantes para os ataques de malware atuais.
Aviso Legal
Em linha com a Diretrizes do Projeto Trust, observe que as informações fornecidas nesta página não se destinam e não devem ser interpretadas como aconselhamento jurídico, tributário, de investimento, financeiro ou qualquer outra forma. É importante investir apenas o que você pode perder e procurar aconselhamento financeiro independente se tiver alguma dúvida. Para mais informações, sugerimos consultar os termos e condições, bem como as páginas de ajuda e suporte fornecidas pelo emissor ou anunciante. MetaversePost está comprometida com relatórios precisos e imparciais, mas as condições de mercado estão sujeitas a alterações sem aviso prévio.
Sobre o autor
Kumar é um jornalista de tecnologia experiente com especialização nas interseções dinâmicas de IA/ML, tecnologia de marketing e campos emergentes como criptografia, blockchain e NFTs. Com mais de 3 anos de experiência no setor, Kumar estabeleceu um histórico comprovado na elaboração de narrativas convincentes, conduzindo entrevistas perspicazes e fornecendo insights abrangentes. A expertise de Kumar está na produção de conteúdo de alto impacto, incluindo artigos, relatórios e publicações de pesquisa para plataformas proeminentes do setor. Com um conjunto de habilidades único que combina conhecimento técnico e narrativa, Kumar se destaca na comunicação de conceitos tecnológicos complexos para públicos diversos de forma clara e envolvente.
Mais artigosKumar é um jornalista de tecnologia experiente com especialização nas interseções dinâmicas de IA/ML, tecnologia de marketing e campos emergentes como criptografia, blockchain e NFTs. Com mais de 3 anos de experiência no setor, Kumar estabeleceu um histórico comprovado na elaboração de narrativas convincentes, conduzindo entrevistas perspicazes e fornecendo insights abrangentes. A expertise de Kumar está na produção de conteúdo de alto impacto, incluindo artigos, relatórios e publicações de pesquisa para plataformas proeminentes do setor. Com um conjunto de habilidades único que combina conhecimento técnico e narrativa, Kumar se destaca na comunicação de conceitos tecnológicos complexos para públicos diversos de forma clara e envolvente.