Hackare använder Facebook Phishing Malware för att stjäla kryptoreferenser, varnar Trustwave SpiderLabs Report
I korthet
Trustwave SpiderLabs upptäckte kryptoreferenser som stjäl skadlig programvara Ov3r_Stealer, vilket framhävde ökningen i landskapet för kryptosäkerhetshot.
Cybersäkerhetsföretag Trustwave SpiderLabs upptäckte en ny skadlig kod namngiven Ov3r_Stealer under en Advanced Continual Threat Hunt (ACTH)-kampanjundersökning i början av december 2023.
Ov3r_Stealer är skapad av illvilliga aktörer och är konstruerad med ett ondskefullt syfte att stjäla känsliga referenser och kryptovaluta plånböcker från intet ont anande offer och skicka dem till en Telegram-kanal som övervakas av hotaktören.
Den första attackvektorn spårades tillbaka till en bedräglig Facebook platsannons som maskerar sig som en möjlighet för en Account Manager-tjänst. Intrigerade individer, som inte anade det överhängande hotet, lockades att klicka på länkar inbäddade i annonsen och omdirigerade dem till en skadlig leveransadress för Discord-innehåll.
"För att Malvertisement initiala attackvektor ska kunna realiseras på ett offers miljö, måste användaren klicka på länken i annonsen. Därifrån skulle de omdirigeras via en URL-förkortningstjänst till ett CDN. Det CDN som observerades i de fall vi observerade var cdn.discordapp.com, säger Greg Monson, Trustwave SpiderLabs teamchef för cyberhotsunderrättelser Metaverse Post.
"Därifrån kan offret luras att ladda ner nyttolasten av Ov3r_Stealer. När den har laddats ner kommer den att hämta nästa nyttolast som en Windows Kontrollpanel-fil (.CPL). I det observerade fallet ansluter.CPL-filen till ett GitHub-förråd via ett PowerShell-skript för att ladda ner ytterligare skadliga filer”, tillade Monson.
Det är viktigt att notera att laddning av skadlig programvara till systemet inkluderar HTML-smuggling, SVG-smuggling och maskering av LNK-filer. När skadlig programvara har körts skapar den en beständighetsmekanism genom en schemalagd uppgift och körs var 90:e sekund.
Växande cyberhot kräver proaktiva säkerhetsåtgärder
Dessa skadliga program exfiltrerar känsliga data som geolokalisering, lösenord, kreditkortsuppgifter och mer till en Telegram-kanal som övervakas av hotaktörer, vilket framhäver det föränderliga landskapet av cyberhot och vikten av proaktiva cybersäkerhetsåtgärder.
"Även om vi inte är medvetna om avsikterna som hotaktören hade bakom att samla in information som stulits via denna skadliga programvara, har vi sett liknande information säljas på olika Dark Web-forum. Autentiseringsuppgifter som köps och säljs på dessa plattformar kan vara en potentiell åtkomstvektor för ransomware-grupper att utföra operationer, säger Trustwave SpiderLabs' Greg Monson Metaverse Post.
"När det gäller att spekulera i avsikterna hos den hotaktör vi spårade, kan en potentiell motivation vara att samla in kontouppgifter till olika tjänster och sedan dela och/eller sälja dem via Telegram i 'Golden Dragon Lounge'. Användare i den här telegramgruppen kan ofta hittas som ber om olika tjänster, som Netflix, Spotify, YouTube och cPanel”, tillade han.
Dessutom ledde teamets utredning till olika alias, kommunikationskanaler och arkiv som användes av hotaktörerna, inklusive alias som 'Liu Kong', 'MR Meta', MeoBlackA och 'John Macollan' som hittats i grupper som 'Pwn3rzs Chat ,' 'Golden Dragon Lounge', 'Data Pro' och 'KGB Forums.'
Den 18 december, malware blev känd för allmänheten och rapporterades i VirusTotal.
"Osäkerheten om hur data kommer att användas tillför vissa komplikationer ur en begränsningssynpunkt, men de steg som en organisation bör ta för att åtgärda bör vara desamma. Att utbilda användare att identifiera potentiellt skadliga länkar och att tillämpa säkerhetskorrigeringar för sårbarheter är ett av de första stegen en organisation bör ta för att förhindra en attack som denna, säger Monson.
"I händelse av att skadlig programvara hittas med denna typ av kapacitet, skulle det vara tillrådligt att återställa lösenordet för berörda användare, eftersom den informationen kan användas i en sekundär attack med större implikationer," tillade han.
En annan skadlig kod, Phemedrone, delar alla egenskaper hos Ov3r_Stealer men är skriven på ett annat språk (C#). Det rekommenderas att leta igenom telemetri för att identifiera eventuell användning av denna skadliga programvara och dess varianter i system trots att de listade IOC kanske inte är relevanta för aktuella skadliga attacker.
Villkor
I linje med den Riktlinjer för Trust Project, vänligen notera att informationen på den här sidan inte är avsedd att vara och inte ska tolkas som juridisk, skattemässig, investerings-, finansiell eller någon annan form av rådgivning. Det är viktigt att bara investera det du har råd att förlora och att söka oberoende finansiell rådgivning om du har några tvivel. För ytterligare information föreslår vi att du hänvisar till villkoren samt hjälp- och supportsidorna som tillhandahålls av utfärdaren eller annonsören. MetaversePost är engagerad i korrekt, opartisk rapportering, men marknadsförhållandena kan ändras utan föregående meddelande.
Om författaren
Kumar är en erfaren teknisk journalist med specialisering på de dynamiska skärningspunkterna mellan AI/ML, marknadsföringsteknologi och framväxande områden som krypto, blockchain och NFTs. Med över 3 års erfarenhet i branschen har Kumar etablerat en bevisad meritlista i att skapa övertygande berättelser, genomföra insiktsfulla intervjuer och leverera omfattande insikter. Kumars expertis ligger i att producera innehåll med hög effekt, inklusive artiklar, rapporter och forskningspublikationer för framstående industriplattformar. Med en unik kompetens som kombinerar teknisk kunskap och berättande, utmärker Kumar sig på att kommunicera komplexa tekniska koncept till olika publik på ett tydligt och engagerande sätt.
fler artiklar
Kumar är en erfaren teknisk journalist med specialisering på de dynamiska skärningspunkterna mellan AI/ML, marknadsföringsteknologi och framväxande områden som krypto, blockchain och NFTs. Med över 3 års erfarenhet i branschen har Kumar etablerat en bevisad meritlista i att skapa övertygande berättelser, genomföra insiktsfulla intervjuer och leverera omfattande insikter. Kumars expertis ligger i att producera innehåll med hög effekt, inklusive artiklar, rapporter och forskningspublikationer för framstående industriplattformar. Med en unik kompetens som kombinerar teknisk kunskap och berättande, utmärker Kumar sig på att kommunicera komplexa tekniska koncept till olika publik på ett tydligt och engagerande sätt.
