Hackerii folosesc programe malware de phishing Facebook pentru a fura acreditările criptografice, avertizează raportul Trustwave SpiderLabs
Pe scurt
Trustwave SpiderLabs a descoperit malware-ul Ov3r_Stealer care fura acreditări cripto, evidențiind creșterea peisajului amenințărilor de securitate cripto.
Companie de securitate cibernetică Trustwave SpiderLabs a descoperit a malware nou numit Ov3r_Stealer în timpul unei investigații de campanie Advanced Continual Threat Hunt (ACTH) la începutul lunii decembrie 2023.
Ov3r_Stealer este creat de actori rău intenționați și este conceput cu un scop nefast de a fura acreditările sensibile și portofelele cu criptomonede de la victime nebănuitoare și de a le trimite către un canal Telegram monitorizat de actorul amenințării.
Vectorul de atac inițial a fost urmărit până la un înșelător Facebook anunț de angajare mascandu-se drept o oportunitate pentru un post de manager de cont. Persoanele intrigate, nebănuind de amenințarea iminentă, au fost ademenite să facă clic pe linkurile încorporate în reclamă, redirecționându-le către o adresă URL de livrare a conținutului Discord rău intenționat.
„Pentru ca vectorul de atac inițial Malvertisement să fie realizat în mediul unei victime, utilizatorul ar trebui să facă clic pe linkul furnizat în reclamă. De acolo, acestea vor fi redirecționate printr-un serviciu de scurtare URL către un CDN. CDN-ul observat în cazurile pe care le-am observat a fost cdn.discordapp.com”, a declarat Greg Monson, managerul echipei Trustwave SpiderLabs pentru informații despre amenințări cibernetice. Metaverse Post.
„De acolo, victima poate fi păcălită să descarce încărcătura utilă a lui Ov3r_Stealer. Odată descărcat, acesta va prelua următoarea sarcină utilă ca fișier Windows Control Panel (.CPL). În cazul observat, fișierul.CPL se conectează la un depozit GitHub printr-un script PowerShell pentru a descărca fișiere rău intenționate suplimentare”, a adăugat Monson.
Este important de reținut că încărcarea malware-ului în sistem include contrabanda HTML, contrabanda SVG și mascarea fișierelor LNK. Odată executat, malware-ul creează un mecanism de persistență printr-o sarcină programată și rulează la fiecare 90 de secunde.
Amenințările cibernetice în creștere impun măsuri de securitate proactive
Aceste programe malware exfiltrează date sensibile, cum ar fi localizarea geografică, parolele, detaliile cardului de credit și multe altele, către un canal Telegram monitorizat de actori amenințări, evidențiind peisajul în evoluție al amenințările cibernetice și importanța măsurilor proactive de securitate cibernetică.
„Deși nu suntem conștienți de intențiile pe care actorul amenințării le-a avut în spatele colectării informațiilor furate prin intermediul acestui malware, am văzut informații similare vândute pe diferite forumuri Dark Web. Acreditările cumpărate și vândute pe aceste platforme pot fi un potențial vector de acces pentru grupurile de ransomware pentru a efectua operațiuni”, a declarat Greg Monson, de la Trustwave SpiderLabs. Metaverse Post.
„În ceea ce privește specularea cu privire la intențiile actorului de amenințare pe care îl urmărim, o potențială motivație ar putea fi colectarea acreditărilor contului pentru diverse servicii și apoi partajarea și/sau vânzarea acestora prin Telegram în „Golden Dragon Lounge”. Utilizatorii din acest grup de telegrame pot fi găsiți adesea solicitând diferite servicii, cum ar fi Netflix, Spotify, YouTube și cPanel”, a adăugat el.
Mai mult, investigația efectuată de echipă a condus la diverse pseudonime, canale de comunicare și depozite utilizate de actorii amenințărilor, inclusiv pseudonime precum „Liu Kong”, „MR Meta”, MeoBlackA și „John Macollan” găsite în grupuri precum „Pwn3rzs Chat”. ”, „Golden Dragon Lounge”, „Data Pro” și „Forumuri KGB”.
Pe 18 decembrie, malware a devenit cunoscut publicului și a fost raportat în VirusTotal.
„Incertitudinea modului în care vor fi utilizate datele adaugă unele complicații din punct de vedere al atenuării, dar pașii pe care ar trebui să ia o organizație pentru a remedia ar trebui să fie aceiași. Instruirea utilizatorilor pentru a identifica legăturile potențial rău intenționate și aplicarea de corecții de securitate pentru vulnerabilități este unul dintre primii pași pe care ar trebui să-i facă o organizație pentru a preveni un astfel de atac”, a spus Monson.
„În cazul în care se găsește malware cu acest tip de capacitate, ar fi recomandabil să resetați parola utilizatorilor afectați, deoarece aceste informații ar putea fi folosite într-un atac secundar cu implicații mai mari”, a adăugat el.
Un alt malware, Phhemedrone, împărtășește toate caracteristicile lui Ov3r_Stealer, dar este scris într-o altă limbă (C#). Se recomandă să căutați prin telemetrie pentru a identifica orice utilizare potențială a acestui malware și a variantelor sale în sisteme, în ciuda faptului că IOC-urile enumerate nu sunt relevante pentru atacurile actuale de malware.
Declinare a responsabilităţii
În conformitate cu Ghidurile proiectului Trust, vă rugăm să rețineți că informațiile furnizate pe această pagină nu sunt destinate și nu trebuie interpretate ca fiind consiliere juridică, fiscală, investițională, financiară sau orice altă formă de consiliere. Este important să investești doar ceea ce îți poți permite să pierzi și să cauți sfaturi financiare independente dacă ai îndoieli. Pentru informații suplimentare, vă sugerăm să consultați termenii și condițiile, precum și paginile de ajutor și asistență furnizate de emitent sau agent de publicitate. MetaversePost se angajează să raporteze corecte, imparțial, dar condițiile de piață pot fi modificate fără notificare.
Despre autor
Kumar este un jurnalist tehnic cu experiență, cu o specializare în intersecțiile dinamice ale AI/ML, tehnologie de marketing și domenii emergente, cum ar fi cripto, blockchain și NFTs. Cu peste 3 ani de experiență în industrie, Kumar și-a stabilit o experiență dovedită în elaborarea de narațiuni convingătoare, realizarea de interviuri perspicace și furnizarea de informații cuprinzătoare. Expertiza lui Kumar constă în producerea de conținut de mare impact, inclusiv articole, rapoarte și publicații de cercetare pentru platforme proeminente din industrie. Cu un set unic de abilități care combină cunoștințele tehnice și povestirea, Kumar excelează în comunicarea conceptelor tehnologice complexe către diverse audiențe într-o manieră clară și captivantă.
Mai multe articole
Kumar este un jurnalist tehnic cu experiență, cu o specializare în intersecțiile dinamice ale AI/ML, tehnologie de marketing și domenii emergente, cum ar fi cripto, blockchain și NFTs. Cu peste 3 ani de experiență în industrie, Kumar și-a stabilit o experiență dovedită în elaborarea de narațiuni convingătoare, realizarea de interviuri perspicace și furnizarea de informații cuprinzătoare. Expertiza lui Kumar constă în producerea de conținut de mare impact, inclusiv articole, rapoarte și publicații de cercetare pentru platforme proeminente din industrie. Cu un set unic de abilități care combină cunoștințele tehnice și povestirea, Kumar excelează în comunicarea conceptelor tehnologice complexe către diverse audiențe într-o manieră clară și captivantă.
