Hackeri používajú Facebook phishing malvér na krádež kryptografických poverení, varuje správa Trustwave SpiderLabs
Stručne
Trustwave SpiderLabs objavil malvér Ov3r_Stealer na krádeže kryptografických poverení, čím poukázal na nárast v oblasti kryptografických bezpečnostných hrozieb.
Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou Trustwave SpiderLabs objavil a nový malware pomenovaný Ov3r_Stealer počas vyšetrovania kampane Advanced Continual Threat Hunt (ACTH) začiatkom decembra 2023.
Ov3r_Stealer je vytvorený zlomyseľnými hercami a je navrhnutý s nekalým účelom ukradnúť citlivé poverenia a kryptomenové peňaženky nič netušiacim obetiam a poslať ich na telegramový kanál monitorovaný aktérom hrozby.
Pôvodný vektor útoku bol vysledovaný späť k podvodníkovi facebook pracovný inzerát maskujúci sa ako príležitosť na pozíciu Account Manager. Zaujatí jednotlivci, ktorí nič netušia o hroziacej hrozbe, boli lákaní kliknúť na odkazy vložené do reklamy a presmerovať ich na adresu URL na doručovanie škodlivého obsahu Discord.
„Aby sa počiatočný vektor útoku Malvertisement realizoval v prostredí obete, používateľ by musel kliknúť na odkaz uvedený v reklame. Odtiaľ by boli presmerovaní cez službu skracovania URL na CDN. CDN pozorovaná v prípadoch, ktoré sme pozorovali, bola cdn.discordapp.com,“ povedal Greg Monson, manažér tímu pre spravodajstvo o kybernetických hrozbách Trustwave SpiderLabs. Metaverse Post.
„Odtiaľ môže byť obeť oklamaná, aby si stiahla užitočné zaťaženie Ov3r_Stealer. Po stiahnutí načíta ďalšie užitočné zaťaženie ako súbor ovládacieho panela systému Windows (.CPL). V pozorovanom prípade sa súbor .CPL pripája k úložisku GitHub prostredníctvom skriptu PowerShell na stiahnutie ďalších škodlivých súborov,“ dodal Monson.
Je dôležité poznamenať, že načítanie malvéru do systému zahŕňa pašovanie HTML, pašovanie SVG a maskovanie súborov LNK. Po spustení vytvorí malvér mechanizmus pretrvávania prostredníctvom naplánovanej úlohy a spustí sa každých 90 sekúnd.
Rastúce kybernetické hrozby Rýchle proaktívne bezpečnostné opatrenia
Tieto malvéry prenášajú citlivé údaje, ako sú geolokácia, heslá, podrobnosti o kreditných kartách a ďalšie, do telegramového kanála monitorovaného aktérmi hrozieb, čím zvýrazňujú vyvíjajúce sa prostredie počítačové hrozby a dôležitosť proaktívnych opatrení v oblasti kybernetickej bezpečnosti.
„Aj keď si nie sme vedomí úmyslov, ktoré mal aktér hrozby za zhromažďovaním informácií ukradnutých prostredníctvom tohto malvéru, videli sme, ako sa podobné informácie predávajú na rôznych fórach Dark Web. Poverenia zakúpené a predané na týchto platformách môžu byť potenciálnym prístupovým vektorom pre skupiny ransomvéru na vykonávanie operácií,“ povedal Greg Monson z Trustwave SpiderLabs. Metaverse Post.
„Pokiaľ ide o špekulácie o zámeroch aktéra hrozby, ktorého sme sledovali, potenciálnou motiváciou by mohlo byť zbieranie prihlasovacích údajov k rôznym službám a ich zdieľanie a/alebo predaj prostredníctvom telegramu v „Golden Dragon Lounge“. Používateľov v tejto skupine telegramov možno často nájsť pri získavaní rôznych služieb, ako sú Netflix, Spotify, YouTube a cPanel,“ dodal.
Okrem toho vyšetrovanie tímu viedlo k rôznym aliasom, komunikačným kanálom a archívom používaným aktérmi hrozby, vrátane aliasov ako „Liu Kong“, „MR Meta“, MeoBlackA a „John Macollan“, ktoré sa našli v skupinách ako „Pwn3rzs Chat“. “, „Golden Dragon Lounge“, „Data Pro“ a „Fóra KGB“.
18. decembra sa konal malware sa stal známym verejnosti a bol ohlásený v VirusTotal.
„Neistota, ako sa budú údaje používať, pridáva určité komplikácie z hľadiska zmierňovania, ale kroky, ktoré by organizácia mala podniknúť na nápravu, by mali byť rovnaké. Školenie používateľov na identifikáciu potenciálne škodlivých odkazov a aplikovanie bezpečnostných opráv na zraniteľné miesta je jedným z prvých krokov, ktoré by organizácia mala podniknúť, aby zabránila takýmto útokom,“ povedal Monson.
„V prípade, že sa nájde malvér s týmto typom schopnosti, bolo by vhodné obnoviť heslo dotknutých používateľov, pretože tieto informácie by mohli byť použité pri sekundárnom útoku s väčšími dôsledkami,“ dodal.
Ďalší malvér, Phemedrone, zdieľa všetky vlastnosti Ov3r_Stealer, ale je napísaný v inom jazyku (C#). Odporúča sa vyhľadávať prostredníctvom telemetrie, aby ste identifikovali akékoľvek potenciálne použitie tohto malvéru a jeho variantov v systémoch napriek tomu, že uvedené IOC nemusia byť relevantné pre súčasné útoky škodlivého softvéru.
Vylúčenie zodpovednosti
V súlade s Pokyny k projektu Trust, uvedomte si, že informácie uvedené na tejto stránke nie sú zamýšľané a nemali by byť interpretované ako právne, daňové, investičné, finančné alebo iné formy poradenstva. Je dôležité investovať len toľko, koľko si môžete dovoliť stratiť a v prípade akýchkoľvek pochybností vyhľadať nezávislé finančné poradenstvo. Ak chcete získať ďalšie informácie, odporúčame vám pozrieť si zmluvné podmienky, ako aj stránky pomoci a podpory poskytnuté vydavateľom alebo inzerentom. MetaversePost sa zaviazala poskytovať presné a nezaujaté správy, ale podmienky na trhu sa môžu zmeniť bez upozornenia.
O autorovi
Kumar je skúsený technický novinár so špecializáciou na dynamické prieniky AI/ML, marketingových technológií a nových oblastí, ako sú krypto, blockchain a NFTs. S viac ako 3-ročnými skúsenosťami v tomto odvetví má Kumar preukázané výsledky pri vytváraní pútavých príbehov, vedení dômyselných rozhovorov a poskytovaní komplexných poznatkov. Kumarova odbornosť spočíva vo vytváraní vysoko účinného obsahu vrátane článkov, správ a výskumných publikácií pre prominentné priemyselné platformy. Vďaka jedinečnému súboru zručností, ktorý kombinuje technické znalosti a rozprávanie príbehov, Kumar vyniká v komunikácii zložitých technologických konceptov pre rôzne publikum jasným a pútavým spôsobom.
Ďalšie články
Kumar je skúsený technický novinár so špecializáciou na dynamické prieniky AI/ML, marketingových technológií a nových oblastí, ako sú krypto, blockchain a NFTs. S viac ako 3-ročnými skúsenosťami v tomto odvetví má Kumar preukázané výsledky pri vytváraní pútavých príbehov, vedení dômyselných rozhovorov a poskytovaní komplexných poznatkov. Kumarova odbornosť spočíva vo vytváraní vysoko účinného obsahu vrátane článkov, správ a výskumných publikácií pre prominentné priemyselné platformy. Vďaka jedinečnému súboru zručností, ktorý kombinuje technické znalosti a rozprávanie príbehov, Kumar vyniká v komunikácii zložitých technologických konceptov pre rôzne publikum jasným a pútavým spôsobom.
