แฮกเกอร์ใช้มัลแวร์ฟิชชิ่งบน Facebook เพื่อขโมยข้อมูลรับรอง Crypto เตือนรายงาน Trustwave SpiderLabs
ในบทสรุป
Trustwave SpiderLabs ค้นพบมัลแวร์ขโมยข้อมูลประจำตัว crypto Ov3r_Stealer โดยเน้นถึงการเพิ่มขึ้นของแนวภัยคุกคามด้านความปลอดภัยของ crypto
บริษัทรักษาความปลอดภัยทางไซเบอร์ Trustwave SpiderLabs ค้นพบ a มัลแวร์ใหม่ ชื่อ Ov3r_Stealer ระหว่างการสืบสวนแคมเปญ Advanced Continual Threat Hunt (ACTH) ในช่วงต้นเดือนธันวาคม 2023
Ov3r_Stealer ถูกสร้างขึ้นโดยผู้ประสงค์ร้าย และได้รับการออกแบบโดยมีวัตถุประสงค์ชั่วร้ายเพื่อขโมยข้อมูลประจำตัวที่ละเอียดอ่อนและกระเป๋าเงินดิจิตอลจากเหยื่อที่ไม่สงสัย และส่งพวกเขาไปยังช่องทาง Telegram ที่ถูกตรวจสอบโดยผู้คุกคาม
เวกเตอร์การโจมตีครั้งแรกถูกตรวจสอบย้อนกลับไปที่การหลอกลวง Facebook โฆษณารับสมัครงานที่ปลอมตัวเป็นโอกาสสำหรับตำแหน่งผู้จัดการฝ่ายบัญชี บุคคลที่สนใจและไม่สงสัยถึงภัยคุกคามที่กำลังจะเกิดขึ้น ถูกล่อลวงให้คลิกลิงก์ที่ฝังอยู่ภายในโฆษณา และเปลี่ยนเส้นทางไปยัง URL การส่งเนื้อหา Discord ที่เป็นอันตราย
“เพื่อให้เวกเตอร์การโจมตีเริ่มต้นมัลแวร์ตระหนักถึงสภาพแวดล้อมของเหยื่อ ผู้ใช้จะต้องคลิกลิงก์ที่ให้ไว้ในโฆษณา จากนั้น URL เหล่านั้นจะถูกเปลี่ยนเส้นทางผ่านบริการย่อ URL ไปยัง CDN CDN ที่พบในกรณีที่เราสังเกตคือ cdn.discordapp.com” Greg Monson ผู้จัดการทีมข่าวกรองภัยคุกคามทางไซเบอร์ของ Trustwave SpiderLabs กล่าว Metaverse Post.
“จากนั้น เหยื่ออาจถูกหลอกให้ดาวน์โหลดเพย์โหลดของ Ov3r_Stealer เมื่อดาวน์โหลดแล้ว ระบบจะเรียกข้อมูลเพย์โหลดถัดไปเป็นไฟล์แผงควบคุม Windows (.CPL) ในกรณีที่สังเกตพบ ไฟล์ .CPL เชื่อมต่อกับพื้นที่เก็บข้อมูล GitHub ผ่านสคริปต์ PowerShell เพื่อดาวน์โหลดไฟล์ที่เป็นอันตรายเพิ่มเติม” Monson กล่าวเสริม
สิ่งสำคัญคือต้องทราบว่าการโหลดมัลแวร์เข้าสู่ระบบรวมถึงการลักลอบขน HTML, การลักลอบขนสินค้า SVG และการปลอมแปลงไฟล์ LNK เมื่อดำเนินการแล้ว มัลแวร์จะสร้างกลไกการคงอยู่ผ่านงานที่กำหนดเวลาไว้และทำงานทุกๆ 90 วินาที
ภัยคุกคามทางไซเบอร์ที่เพิ่มมากขึ้นส่งผลให้มีมาตรการรักษาความปลอดภัยเชิงรุก
มัลแวร์เหล่านี้ขโมยข้อมูลที่ละเอียดอ่อน เช่น ตำแหน่งทางภูมิศาสตร์ รหัสผ่าน รายละเอียดบัตรเครดิต และอื่นๆ ไปยังช่องทาง Telegram ที่ได้รับการตรวจสอบโดยผู้คุกคาม โดยเน้นถึงภูมิทัศน์ที่เปลี่ยนแปลงไปของ ภัยคุกคามทางไซเบอร์ และความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์เชิงรุก
“แม้ว่าเราจะไม่ทราบถึงความตั้งใจของผู้คุกคามที่อยู่เบื้องหลังการรวบรวมข้อมูลที่ถูกขโมยผ่านมัลแวร์นี้ แต่เราได้เห็นข้อมูลที่คล้ายกันถูกขายในฟอรัม Dark Web ต่างๆ ข้อมูลรับรองที่ซื้อและขายบนแพลตฟอร์มเหล่านี้อาจเป็นช่องทางในการเข้าถึงสำหรับกลุ่มแรนซัมแวร์ในการดำเนินการ” Greg Monson จาก Trustwave SpiderLabs กล่าว Metaverse Post.
“เกี่ยวกับการเก็งกำไรเกี่ยวกับความตั้งใจของผู้คุกคามที่เรากำลังติดตาม แรงจูงใจที่เป็นไปได้อาจเป็นการเก็บเกี่ยวข้อมูลรับรองบัญชีไปยังบริการต่างๆ จากนั้นแบ่งปันและ/หรือขายผ่าน Telegram ใน 'Golden Dragon Lounge' ผู้ใช้ในกลุ่มโทรเลขนี้มักจะถูกพบว่าร้องขอบริการต่างๆ เช่น Netflix, Spotify, YouTube และ cPanel” เขากล่าวเสริม
นอกจากนี้ การสืบสวนโดยทีมงานยังนำไปสู่นามแฝง ช่องทางการสื่อสาร และที่เก็บข้อมูลต่างๆ ที่ผู้คุกคามใช้ รวมถึงนามแฝงเช่น 'Liu Kong,' 'MR Meta,' MeoBlackA และ 'John Macollan' ที่พบในกลุ่มเช่น 'Pwn3rzs Chat ,' 'Golden Dragon Lounge,' 'Data Pro,' และ 'ฟอรัม KGB'
ในเดือนธันวาคม 18 มัลแวร์ กลายเป็นที่รู้จักต่อสาธารณชนและได้รับรายงานใน VirusTotal
“ความไม่แน่นอนของวิธีการใช้ข้อมูลทำให้เกิดภาวะแทรกซ้อนจากมุมมองในการบรรเทาผลกระทบ แต่ขั้นตอนที่องค์กรควรทำเพื่อแก้ไขควรจะเหมือนกัน การฝึกอบรมผู้ใช้ให้ระบุลิงก์ที่อาจเป็นอันตรายและการใช้แพตช์รักษาความปลอดภัยสำหรับช่องโหว่ถือเป็นขั้นตอนแรกที่องค์กรควรทำเพื่อป้องกันการโจมตีเช่นนี้” มอนสันกล่าว
“ในกรณีที่พบมัลแวร์ที่มีความสามารถประเภทนี้ ขอแนะนำให้รีเซ็ตรหัสผ่านของผู้ใช้ที่ได้รับผลกระทบ เนื่องจากข้อมูลดังกล่าวสามารถนำไปใช้ในการโจมตีครั้งที่สองโดยมีผลกระทบมากกว่า” เขากล่าวเสริม
มัลแวร์อีกตัวหนึ่งคือ Phemedrone มีคุณลักษณะทั้งหมดของ Ov3r_Stealer เหมือนกัน แต่เขียนเป็นภาษาอื่น (C#) ขอแนะนำให้ค้นหาผ่านการตรวจวัดทางไกลเพื่อระบุการใช้งานที่เป็นไปได้ของมัลแวร์นี้และตัวแปรต่างๆ ในระบบ แม้ว่า IOC ที่ระบุไว้อาจไม่เกี่ยวข้องกับการโจมตีของมัลแวร์ในปัจจุบันก็ตาม
ข้อจำกัดความรับผิดชอบ
สอดคล้องกับ แนวทางโครงการที่เชื่อถือได้โปรดทราบว่าข้อมูลที่ให้ไว้ในหน้านี้ไม่ได้มีจุดมุ่งหมายและไม่ควรตีความว่าเป็นคำแนะนำทางกฎหมาย ภาษี การลงทุน การเงิน หรือรูปแบบอื่นใด สิ่งสำคัญคือต้องลงทุนเฉพาะในสิ่งที่คุณสามารถที่จะสูญเสียได้ และขอคำแนะนำทางการเงินที่เป็นอิสระหากคุณมีข้อสงสัยใดๆ สำหรับข้อมูลเพิ่มเติม เราขอแนะนำให้อ้างอิงข้อกำหนดและเงื่อนไขตลอดจนหน้าช่วยเหลือและสนับสนุนที่ผู้ออกหรือผู้ลงโฆษณาให้ไว้ MetaversePost มุ่งมั่นที่จะรายงานที่ถูกต้องและเป็นกลาง แต่สภาวะตลาดอาจมีการเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้า
เกี่ยวกับผู้เขียน
Kumar เป็นนักข่าวเทคโนโลยีที่มีประสบการณ์ โดยมีความเชี่ยวชาญเฉพาะด้านในการผสมผสานแบบไดนามิกของ AI/ML เทคโนโลยีการตลาด และสาขาเกิดใหม่ เช่น คริปโต บล็อกเชน และ NFTsด้วยประสบการณ์ในอุตสาหกรรมมากกว่า 3 ปี Kumar ได้สร้างผลงานที่พิสูจน์แล้วในการสร้างสรรค์เรื่องราวที่น่าสนใจ การสัมภาษณ์เชิงลึก และการนำเสนอข้อมูลเชิงลึกที่ครอบคลุม ความเชี่ยวชาญของ Kumar อยู่ที่การผลิตเนื้อหาที่มีผลกระทบสูง รวมถึงบทความ รายงาน และสิ่งพิมพ์วิจัยสำหรับแพลตฟอร์มอุตสาหกรรมที่มีชื่อเสียง ด้วยชุดทักษะเฉพาะที่ผสมผสานความรู้ทางเทคนิคและการเล่าเรื่อง Kumar โดดเด่นในการสื่อสารแนวคิดทางเทคโนโลยีที่ซับซ้อนให้กับผู้ฟังที่หลากหลายในลักษณะที่ชัดเจนและน่าดึงดูด
บทความอื่น ๆKumar เป็นนักข่าวเทคโนโลยีที่มีประสบการณ์ โดยมีความเชี่ยวชาญเฉพาะด้านในการผสมผสานแบบไดนามิกของ AI/ML เทคโนโลยีการตลาด และสาขาเกิดใหม่ เช่น คริปโต บล็อกเชน และ NFTsด้วยประสบการณ์ในอุตสาหกรรมมากกว่า 3 ปี Kumar ได้สร้างผลงานที่พิสูจน์แล้วในการสร้างสรรค์เรื่องราวที่น่าสนใจ การสัมภาษณ์เชิงลึก และการนำเสนอข้อมูลเชิงลึกที่ครอบคลุม ความเชี่ยวชาญของ Kumar อยู่ที่การผลิตเนื้อหาที่มีผลกระทบสูง รวมถึงบทความ รายงาน และสิ่งพิมพ์วิจัยสำหรับแพลตฟอร์มอุตสาหกรรมที่มีชื่อเสียง ด้วยชุดทักษะเฉพาะที่ผสมผสานความรู้ทางเทคนิคและการเล่าเรื่อง Kumar โดดเด่นในการสื่อสารแนวคิดทางเทคโนโลยีที่ซับซ้อนให้กับผู้ฟังที่หลากหลายในลักษณะที่ชัดเจนและน่าดึงดูด