Хакери використовують зловмисне програмне забезпечення для фішингу Facebook, щоб викрасти облікові дані крипто, попереджає звіт Trustwave SpiderLabs
Коротко
Trustwave SpiderLabs виявила зловмисне програмне забезпечення Ov3r_Stealer, яке викрадає криптографічні облікові дані, підкреслюючи зростання загроз криптобезпеці.
Компанія з кібербезпеки Trustwave SpiderLabs виявив а нові шкідливі програми отримав назву Ov3r_Stealer під час розслідування кампанії Advanced Continual Threat Hunt (ACTH) на початку грудня 2023 року.
Ov3r_Stealer створено зловмисниками та розроблено з підлою метою, щоб викрасти конфіденційні облікові дані та гаманці криптовалюти від нічого не підозрюючих жертв і відправити їх на канал Telegram, який контролює зловмисник.
Початковий вектор атаки був простежений до оманливого Facebook оголошення про роботу, що маскується під можливість отримати посаду менеджера з роботи з клієнтами. Заінтриговані люди, які навіть не підозрювали про загрозу, що насувається, були спокушені натиснути посилання, вбудовані в рекламу, перенаправляючи їх на шкідливу URL-адресу доставки вмісту Discord.
«Щоб початковий вектор атаки Malvertisement був реалізований у середовищі жертви, користувач мав би натиснути на посилання, надане в рекламі. Звідти вони будуть перенаправлені через службу скорочення URL-адрес до CDN. CDN, який ми спостерігали, був cdn.discordapp.com», — сказав Грег Монсон, керівник групи аналізу кіберзагроз Trustwave SpiderLabs. Metaverse Post.
«Звідти жертву можна обманом змусити завантажити корисне навантаження Ov3r_Stealer. Після завантаження наступне корисне навантаження буде отримано як файл панелі керування Windows (.CPL). У спостережуваному випадку файл.CPL підключається до репозиторію GitHub через сценарій PowerShell для завантаження додаткових шкідливих файлів», — додав Монсон.
Важливо зазначити, що завантаження зловмисного програмного забезпечення в систему включає контрабанду HTML, контрабанду SVG і маскування файлів LNK. Після виконання зловмисне програмне забезпечення створює механізм збереження через заплановане завдання та запускається кожні 90 секунд.
Зростаючі кіберзагрози спонукають до профілактичних заходів безпеки
Ці зловмисники передають такі конфіденційні дані, як геолокація, паролі, дані кредитних карток тощо, на канал Telegram, який контролюють зловмисники, висвітлюючи ландшафт, що розвивається. кіберзагрози і важливість проактивних заходів кібербезпеки.
«Хоча ми не знаємо про наміри зловмисника, який збирав інформацію, викрадену за допомогою цього зловмисного програмного забезпечення, ми бачили, як подібна інформація продається на різних форумах Dark Web. Облікові дані, куплені та продані на цих платформах, можуть бути потенційним вектором доступу для груп програм-вимагачів для проведення операцій», — сказав Грег Монсон з Trustwave SpiderLabs. Metaverse Post.
«Щодо спекуляцій щодо намірів загрози, яку ми відстежували, потенційною мотивацією може бути збір облікових даних облікового запису для різних служб, а потім обмін та/або продаж їх через Telegram у «Golden Dragon Lounge». Користувачів у цій групі Telegram часто можна зустріти, що просять різні сервіси, такі як Netflix, Spotify, YouTube і cPanel», — додав він.
Більше того, розслідування, проведене командою, призвело до виявлення різних псевдонімів, каналів зв’язку та сховищ, які використовували зловмисники, включно з псевдонімами, такими як «Liu Kong», «MR Meta», «MeoBlackA» та «John Macollan», знайдені в таких групах, як «Pwn3rzs Chat». , «Golden Dragon Lounge», «Data Pro» та «Форуми КДБ».
У грудні 18, шкідливих програм стала відома громадськості та про неї повідомили у VirusTotal.
«Невизначеність щодо того, як будуть використовуватися дані, додає деяких ускладнень з точки зору пом’якшення, але кроки, які організація повинна вжити для виправлення, мають бути однаковими. Навчання користувачів ідентифікації потенційно зловмисних посилань і застосування патчів безпеки для виявлення вразливостей є одним із перших кроків, які організація повинна зробити, щоб запобігти подібній атаці», — сказав Монсон.
«У разі виявлення зловмисного програмного забезпечення з таким типом можливостей, було б доцільно скинути пароль постраждалих користувачів, оскільки ця інформація може бути використана для вторинної атаки з більшими наслідками», — додав він.
Інша шкідлива програма, Phemedrone, має всі характеристики Ov3r_Stealer, але написана іншою мовою (C#). Рекомендується шукати телеметрію, щоб виявити будь-яке потенційне використання цього зловмисного програмного забезпечення та його варіантів у системах, незважаючи на те, що перераховані IOC, можливо, не стосуються поточних атак зловмисного програмного забезпечення.
відмова
Відповідно до Правила проекту Trust, будь ласка, зверніть увагу, що інформація, надана на цій сторінці, не призначена і не повинна тлумачитися як юридична, податкова, інвестиційна, фінансова або будь-яка інша форма консультації. Важливо інвестувати лише те, що ви можете дозволити собі втратити, і звернутися за незалежною фінансовою порадою, якщо у вас виникнуть сумніви. Щоб отримати додаткову інформацію, ми пропонуємо звернутися до положень та умов, а також до сторінок довідки та підтримки, наданих емітентом або рекламодавцем. MetaversePost прагне до точного, неупередженого звітування, але ринкові умови можуть змінюватися без попередження.
про автора
Кумар є досвідченим технічним журналістом, який спеціалізується на динамічному перетині ШІ/ML, маркетингових технологій і нових галузей, таких як криптовалюта, блокчейн і NFTs. Завдяки більш ніж 3-річному досвіду роботи в галузі Кумар має досвід створення переконливих оповідей, проведення проникливих інтерв’ю та надання вичерпної інформації. Досвід Кумара полягає у створенні вражаючого контенту, зокрема статей, звітів і дослідницьких публікацій для відомих галузевих платформ. Володіючи унікальним набором навичок, який поєднує в собі технічні знання та розповідь, Кумар чудово вміє доносити складні технологічні концепції до різноманітної аудиторії в чіткій та привабливій формі.
інші статті
Кумар є досвідченим технічним журналістом, який спеціалізується на динамічному перетині ШІ/ML, маркетингових технологій і нових галузей, таких як криптовалюта, блокчейн і NFTs. Завдяки більш ніж 3-річному досвіду роботи в галузі Кумар має досвід створення переконливих оповідей, проведення проникливих інтерв’ю та надання вичерпної інформації. Досвід Кумара полягає у створенні вражаючого контенту, зокрема статей, звітів і дослідницьких публікацій для відомих галузевих платформ. Володіючи унікальним набором навичок, який поєднує в собі технічні знання та розповідь, Кумар чудово вміє доносити складні технологічні концепції до різноманітної аудиторії в чіткій та привабливій формі.
