Хакеры используют фишинговое ПО Facebook для кражи криптовалютных учетных данных, предупреждает отчет Trustwave SpiderLabs
Коротко
Trustwave SpiderLabs обнаружила вредоносное ПО Ov3r_Stealer, крадущее крипто-учетные данные, что подчеркивает рост количества угроз криптобезопасности.
Компания кибербезопасности Trustwave SpiderLabs обнаружил новые вредоносные программы назван Ov3r_Stealer во время расследования кампании Advanced Continual Threat Hunt (ACTH) в начале декабря 2023 года.
Ov3r_Stealer создан злоумышленниками и преследует гнусную цель — украсть конфиденциальные учетные данные и криптовалютные кошельки у ничего не подозревающих жертв и отправить их на канал Telegram, контролируемый злоумышленником.
Первоначальный вектор атаки был связан с обманным Facebook объявление о работе, маскирующееся под возможность занять должность менеджера по работе с клиентами. Заинтригованные люди, не подозревавшие о надвигающейся угрозе, были склонны нажимать на ссылки, встроенные в рекламу, перенаправляя их на вредоносный URL-адрес доставки контента Discord.
«Чтобы первоначальный вектор атаки Malvertisement был реализован в среде жертвы, пользователю необходимо щелкнуть ссылку, указанную в рекламном объявлении. Оттуда они будут перенаправлены через службу сокращения URL-адресов в CDN. CDN, наблюдаемая в наблюдаемых нами случаях, называлась cdn.discordapp.com», — рассказал Грег Монсон, менеджер группы по анализу киберугроз Trustwave SpiderLabs. Metaverse Post.
«Оттуда жертву можно обманом заставить загрузить полезную нагрузку Ov3r_Stealer. После загрузки он получит следующую полезную нагрузку в виде файла панели управления Windows (.CPL). В наблюдаемом случае файл .CPL подключается к репозиторию GitHub через сценарий PowerShell для загрузки дополнительных вредоносных файлов», — добавил Монсон.
Важно отметить, что загрузка вредоносного ПО в систему включает в себя HTML Smuggling, SVG Smuggling и маскировку файлов LNK. После запуска вредоносная программа создает механизм сохранения с помощью запланированного задания и запускается каждые 90 секунд.
Рост киберугроз требует принятия превентивных мер безопасности
Эти вредоносные программы переносят конфиденциальные данные, такие как геолокация, пароли, данные кредитных карт и многое другое, в канал Telegram, который контролируется злоумышленниками, подчеркивая развивающуюся ситуацию в сфере кибербезопасности. кибер-угрозы и важность превентивных мер кибербезопасности.
«Хотя нам неизвестны намерения злоумышленника по сбору информации, украденной с помощью этого вредоносного ПО, мы видели, как подобная информация продавалась на различных форумах даркнета. Учетные данные, купленные и проданные на этих платформах, могут стать потенциальным вектором доступа для групп вымогателей для проведения операций», — сказал Грег Монсон из Trustwave SpiderLabs. Metaverse Post.
«Что касается предположений о намерениях злоумышленника, которого мы отслеживали, потенциальной мотивацией может быть сбор учетных данных учетных записей различных сервисов, а затем обмен и/или продажа их через Telegram в «Golden Dragon Lounge». Пользователей в этой группе Telegram часто просят использовать различные сервисы, такие как Netflix, Spotify, YouTube и cPanel», — добавил он.
Более того, расследование, проведенное командой, привело к обнаружению различных псевдонимов, каналов связи и репозиториев, используемых злоумышленниками, включая такие псевдонимы, как «Liu Kong», «MR Meta», MeoBlackA и «John Macollan», обнаруженные в таких группах, как «Pwn3rzs Chat». », «Golden Dragon Lounge», «Data Pro» и «Форумы КГБ».
В декабре 18, вредоносных программ стал известен общественности и был опубликован в VirusTotal.
«Неопределенность того, как будут использоваться данные, действительно добавляет некоторых сложностей с точки зрения смягчения последствий, но шаги, которые организация должна предпринять для исправления ситуации, должны быть одинаковыми. Обучение пользователей выявлению потенциально вредоносных ссылок и установке исправлений безопасности для устранения уязвимостей — это один из первых шагов, которые организация должна предпринять для предотвращения подобных атак», — сказал Монсон.
«В случае обнаружения вредоносного ПО с такими возможностями было бы целесообразно сбросить пароли затронутых пользователей, поскольку эта информация может быть использована во вторичной атаке с более серьезными последствиями», — добавил он.
Другая вредоносная программа, Phemedrone, имеет все характеристики Ov3r_Stealer, но написана на другом языке (C#). Рекомендуется просмотреть телеметрию, чтобы выявить любое потенциальное использование этого вредоносного ПО и его вариантов в системах, несмотря на то, что перечисленные IOC, возможно, не имеют отношения к текущим атакам вредоносного ПО.
Условия использования
В соответствии с Руководство трастового проектаОбратите внимание, что информация, представленная на этой странице, не предназначена и не должна интерпретироваться как юридическая, налоговая, инвестиционная, финансовая или любая другая форма консультации. Важно инвестировать только то, что вы можете позволить себе потерять, и обращаться за независимой финансовой консультацией, если у вас есть какие-либо сомнения. Для получения дополнительной информации мы предлагаем обратиться к положениям и условиям, а также к страницам справки и поддержки, предоставленным эмитентом или рекламодателем. MetaversePost стремится предоставлять точную и объективную отчетность, однако рыночные условия могут быть изменены без предварительного уведомления.
Об авторе
Кумар — опытный технический журналист, специализирующийся на динамических пересечениях искусственного интеллекта и машинного обучения, маркетинговых технологий и новых областях, таких как криптография, блокчейн и NFTs. Имея более чем 3-летний опыт работы в отрасли, Кумар зарекомендовал себя как создатель убедительных историй, проводящий содержательные интервью и предоставляющий всеобъемлющие идеи. Экспертиза Кумара заключается в создании высокоэффективного контента, включая статьи, отчеты и исследовательские публикации для известных отраслевых платформ. Обладая уникальным набором навыков, сочетающим технические знания и повествование, Кумар преуспевает в передаче сложных технологических концепций различной аудитории в понятной и увлекательной манере.
Другие статьи
Кумар — опытный технический журналист, специализирующийся на динамических пересечениях искусственного интеллекта и машинного обучения, маркетинговых технологий и новых областях, таких как криптография, блокчейн и NFTs. Имея более чем 3-летний опыт работы в отрасли, Кумар зарекомендовал себя как создатель убедительных историй, проводящий содержательные интервью и предоставляющий всеобъемлющие идеи. Экспертиза Кумара заключается в создании высокоэффективного контента, включая статьи, отчеты и исследовательские публикации для известных отраслевых платформ. Обладая уникальным набором навыков, сочетающим технические знания и повествование, Кумар преуспевает в передаче сложных технологических концепций различной аудитории в понятной и увлекательной манере.
