Gumagamit ang mga Hacker ng Facebook Phishing Malware upang Magnakaw ng Mga Kredensyal ng Crypto, nagbabala sa Ulat ng Trustwave SpiderLabs
Sa madaling sabi
Natuklasan ng Trustwave SpiderLabs ang crypto credential na nagnanakaw ng malware na Ov3r_Stealer, na nagha-highlight sa pagtaas ng crypto security threat landscape.
Kumpanya ng Cybersecurity Trustwave SpiderLabs natuklasan a bagong malware pinangalanang Ov3r_Stealer sa panahon ng pagsisiyasat sa kampanya ng Advanced Continual Threat Hunt (ACTH) noong unang bahagi ng Disyembre 2023.
Ang Ov3r_Stealer ay ginawa ng mga malisyosong aktor at ginawang may masamang layunin na magnakaw ng mga sensitibong kredensyal at mga wallet ng cryptocurrency mula sa mga hindi pinaghihinalaang biktima at ipadala ang mga ito sa isang Telegram channel na sinusubaybayan ng aktor ng pagbabanta.
Ang unang vector ng pag-atake ay natunton pabalik sa isang mapanlinlang Facebook advertisement ng trabaho na nagpapanggap bilang isang pagkakataon para sa isang posisyon sa Account Manager. Ang mga naiintrigang indibidwal, na walang pag-aalinlangan sa paparating na banta, ay naengganyo na mag-click sa mga link na naka-embed sa loob ng advertisement, na nagre-redirect sa kanila sa isang nakakahamak na URL ng paghahatid ng nilalaman ng Discord.
“Para maisakatuparan ang paunang vector ng pag-atake ng Malvertisement sa kapaligiran ng biktima, kailangang mag-click ang user sa link na ibinigay sa advertisement. Mula doon, ire-redirect ang mga ito sa pamamagitan ng isang serbisyo sa pagpapaikli ng URL sa isang CDN. Ang CDN na naobserbahan sa mga pagkakataong naobserbahan namin ay cdn.discordapp.com, "sinabi ni Greg Monson, Trustwave SpiderLabs cyber threat intelligence Team Manager. Metaverse Post.
“Mula doon, maaaring malinlang ang biktima sa pag-download ng payload ng Ov3r_Stealer. Kapag na-download na, kukunin nito ang susunod na payload bilang Windows Control Panel File (.CPL). Sa naobserbahang pagkakataon, ang.CPL file ay kumokonekta sa isang GitHub repository sa pamamagitan ng isang PowerShell script upang mag-download ng mga karagdagang malisyosong file," dagdag ni Monson.
Mahalagang tandaan na ang pag-load ng malware sa system ay kinabibilangan ng HTML Smuggling, SVG Smuggling, at LNK file masquerading. Sa sandaling naisakatuparan, ang malware ay gagawa ng mekanismo ng pagtitiyaga sa pamamagitan ng Naka-iskedyul na Gawain at tatakbo bawat 90 segundo.
Ang Lumalagong mga Banta sa Cyber ay Prompt Proactive Security Measures
Ang mga malware na ito ay naglalabas ng sensitibong data tulad ng geolocation, mga password, mga detalye ng credit card at higit pa sa isang Telegram channel na sinusubaybayan ng mga aktor ng pagbabanta, na nagha-highlight sa umuusbong na tanawin ng pagbabanta cyber at ang kahalagahan ng mga proactive na hakbang sa cybersecurity.
“Bagama't hindi namin alam ang mga intensyon ng banta ng aktor sa likod ng pagkolekta ng impormasyong ninakaw sa pamamagitan ng malware na ito, nakita namin ang mga katulad na impormasyon na ibinebenta sa iba't ibang forum ng Dark Web. Ang mga kredensyal na binili at ibinebenta sa mga platform na ito ay maaaring maging potensyal na access vector para sa mga grupo ng ransomware upang magsagawa ng mga operasyon, "sabi ni Greg Monson ng Trustwave SpiderLabs. Metaverse Post.
“Tungkol sa espekulasyon sa mga intensyon ng banta na aktor na aming sinusubaybayan, ang isang potensyal na motibasyon ay maaaring ang pagkuha ng mga kredensyal ng account sa iba't ibang serbisyo at pagkatapos ay ibahagi at/o ibenta ang mga ito sa pamamagitan ng Telegram sa 'Golden Dragon Lounge'. Ang mga gumagamit sa telegram group na ito ay madalas na matatagpuan na nanghihingi ng iba't ibang mga serbisyo, tulad ng Netflix, Spotify, YouTube at cPanel," dagdag niya.
Bukod dito, ang pagsisiyasat ng koponan ay humantong sa iba't ibang mga alias, channel ng komunikasyon, at mga repository na ginagamit ng mga aktor ng pagbabanta, kabilang ang mga alyas tulad ng 'Liu Kong,' 'MR Meta,' MeoBlackA, at 'John Macollan' na matatagpuan sa mga grupo tulad ng 'Pwn3rzs Chat ,' 'Golden Dragon Lounge,' 'Data Pro,' at 'KGB Forums.'
Noong Disyembre 18, ang malware naging kilala sa publiko at naiulat sa VirusTotal.
"Ang kawalan ng katiyakan kung paano gagamitin ang data ay nagdaragdag ng ilang mga komplikasyon mula sa isang pananaw sa pagpapagaan ngunit ang mga hakbang na dapat gawin ng isang organisasyon upang ayusin ay dapat na pareho. Ang pagsasanay sa mga user na kilalanin ang mga potensyal na nakakahamak na link at paglalapat ng mga patch ng seguridad para sa mga kahinaan ay isa sa mga unang hakbang na dapat gawin ng isang organisasyon upang maiwasan ang isang pag-atake na tulad nito," sabi ni Monson.
"Kung sakaling makita ang malware na may ganitong uri ng kakayahan, ipinapayong i-reset ang password ng mga apektadong user, dahil ang impormasyong iyon ay maaaring gamitin sa pangalawang pag-atake na may mas malaking implikasyon," dagdag niya.
Ang isa pang malware, Phemedrone, ay nagbabahagi ng lahat ng mga katangian ng Ov3r_Stealer ngunit nakasulat sa ibang wika (C#). Inirerekomenda na maghanap sa pamamagitan ng telemetry upang matukoy ang anumang potensyal na paggamit ng malware na ito at ang mga variant nito sa mga system sa kabila ng mga nakalistang IOC na posibleng hindi nauugnay sa mga kasalukuyang pag-atake ng malware.
Pagtanggi sa pananagutan
Sa linya na may Mga alituntunin ng Trust Project, pakitandaan na ang impormasyong ibinigay sa pahinang ito ay hindi nilayon at hindi dapat bigyang-kahulugan bilang legal, buwis, pamumuhunan, pananalapi, o anumang iba pang paraan ng payo. Mahalagang mamuhunan lamang kung ano ang maaari mong mawala at humingi ng independiyenteng payo sa pananalapi kung mayroon kang anumang mga pagdududa. Para sa karagdagang impormasyon, iminumungkahi naming sumangguni sa mga tuntunin at kundisyon pati na rin sa mga pahina ng tulong at suporta na ibinigay ng nagbigay o advertiser. MetaversePost ay nakatuon sa tumpak, walang pinapanigan na pag-uulat, ngunit ang mga kondisyon ng merkado ay maaaring magbago nang walang abiso.
Tungkol sa Ang May-akda
Si Kumar ay isang makaranasang Tech Journalist na may espesyalisasyon sa mga dynamic na intersection ng AI/ML, teknolohiya sa marketing, at mga umuusbong na larangan tulad ng crypto, blockchain, at NFTs. Sa mahigit 3 taong karanasan sa industriya, si Kumar ay nagtatag ng isang napatunayang track record sa paggawa ng mga nakakahimok na salaysay, pagsasagawa ng mga insightful na panayam, at paghahatid ng mga komprehensibong insight. Ang kadalubhasaan ni Kumar ay nakasalalay sa paggawa ng nilalamang may mataas na epekto, kabilang ang mga artikulo, ulat, at mga publikasyong pananaliksik para sa mga kilalang platform ng industriya. Sa isang natatanging hanay ng kasanayan na pinagsasama ang teknikal na kaalaman at pagkukuwento, mahusay si Kumar sa pakikipag-usap ng mga kumplikadong teknolohikal na konsepto sa magkakaibang mga madla sa isang malinaw at nakakaengganyo na paraan.
Mas marami pang artikulo
Si Kumar ay isang makaranasang Tech Journalist na may espesyalisasyon sa mga dynamic na intersection ng AI/ML, teknolohiya sa marketing, at mga umuusbong na larangan tulad ng crypto, blockchain, at NFTs. Sa mahigit 3 taong karanasan sa industriya, si Kumar ay nagtatag ng isang napatunayang track record sa paggawa ng mga nakakahimok na salaysay, pagsasagawa ng mga insightful na panayam, at paghahatid ng mga komprehensibong insight. Ang kadalubhasaan ni Kumar ay nakasalalay sa paggawa ng nilalamang may mataas na epekto, kabilang ang mga artikulo, ulat, at mga publikasyong pananaliksik para sa mga kilalang platform ng industriya. Sa isang natatanging hanay ng kasanayan na pinagsasama ang teknikal na kaalaman at pagkukuwento, mahusay si Kumar sa pakikipag-usap ng mga kumplikadong teknolohikal na konsepto sa magkakaibang mga madla sa isang malinaw at nakakaengganyo na paraan.
