Tin tặc đang sử dụng phần mềm độc hại lừa đảo trên Facebook để đánh cắp thông tin xác thực tiền điện tử, cảnh báo Báo cáo của Trustwave SpiderLabs
Tóm lại
Trustwave SpiderLabs đã phát hiện phần mềm độc hại đánh cắp thông tin xác thực tiền điện tử Ov3r_Stealer, nêu bật sự gia tăng trong bối cảnh mối đe dọa bảo mật tiền điện tử.
Công ty an ninh mạng Trustwave SpiderLabs phát hiện ra một phần mềm độc hại mới được đặt tên là Ov3r_Stealer trong cuộc điều tra chiến dịch Săn lùng mối đe dọa liên tục nâng cao (ACTH) vào đầu tháng 2023 năm XNUMX.
Ov3r_Stealer được tạo ra bởi những kẻ độc hại và được thiết kế với mục đích bất chính là đánh cắp thông tin xác thực nhạy cảm và ví tiền điện tử từ những nạn nhân không nghi ngờ và gửi chúng đến kênh Telegram do kẻ đe dọa giám sát.
Vectơ tấn công ban đầu được truy trở lại một kẻ lừa đảo Facebook quảng cáo việc làm mạo danh cơ hội cho vị trí Quản lý tài khoản. Những cá nhân bị hấp dẫn, không nghi ngờ về mối đe dọa sắp xảy ra, đã bị dụ dỗ nhấp vào các liên kết được nhúng trong quảng cáo, chuyển hướng họ đến URL phân phối nội dung Discord độc hại.
“Để vectơ tấn công ban đầu của Quảng cáo độc hại được thực hiện trên môi trường của nạn nhân, người dùng sẽ phải nhấp vào liên kết được cung cấp trong quảng cáo. Từ đó, chúng sẽ được chuyển hướng qua dịch vụ rút ngắn URL tới CDN. CDN được quan sát thấy trong các trường hợp chúng tôi quan sát được là cdn.discordapp.com,” Greg Monson, Giám đốc nhóm tình báo mối đe dọa mạng của Trustwave SpiderLabs cho biết Metaverse Post.
“Từ đó, nạn nhân có thể bị lừa tải xuống tải trọng của Ov3r_Stealer. Sau khi tải xuống, nó sẽ truy xuất tải trọng tiếp theo dưới dạng Tệp Bảng điều khiển Windows (.CPL). Trong trường hợp được quan sát, tệp .CPL kết nối với kho lưu trữ GitHub thông qua tập lệnh PowerShell để tải xuống các tệp độc hại bổ sung,” Monson nói thêm.
Điều quan trọng cần lưu ý là việc tải phần mềm độc hại vào hệ thống bao gồm Buôn lậu HTML, Buôn lậu SVG và giả mạo tệp LNK. Sau khi được thực thi, phần mềm độc hại sẽ tạo cơ chế tồn tại lâu dài thông qua Tác vụ theo lịch trình và chạy cứ sau 90 giây.
Các mối đe dọa mạng ngày càng gia tăng thúc đẩy các biện pháp bảo mật chủ động
Những phần mềm độc hại này lọc dữ liệu nhạy cảm như vị trí địa lý, mật khẩu, chi tiết thẻ tín dụng, v.v. vào kênh Telegram do các tác nhân đe dọa giám sát, làm nổi bật bối cảnh ngày càng phát triển của mối đe dọa mạng và tầm quan trọng của các biện pháp an ninh mạng chủ động.
“Mặc dù chúng tôi không biết ý định của kẻ đe dọa đằng sau việc thu thập thông tin bị đánh cắp thông qua phần mềm độc hại này, nhưng chúng tôi đã thấy thông tin tương tự được bán trên nhiều diễn đàn Dark Web khác nhau. Greg Monson của Trustwave SpiderLabs cho biết: Thông tin xác thực được mua và bán trên các nền tảng này có thể là một phương tiện truy cập tiềm năng để các nhóm ransomware tiến hành hoạt động. Metaverse Post.
“Về việc suy đoán về ý định của tác nhân đe dọa mà chúng tôi đang theo dõi, động cơ tiềm ẩn có thể là thu thập thông tin xác thực tài khoản của các dịch vụ khác nhau rồi chia sẻ và/hoặc bán chúng qua Telegram trong 'Golden Dragon Lounge'. Người dùng trong nhóm telegram này thường có thể tìm kiếm các dịch vụ khác nhau, chẳng hạn như Netflix, Spotify, YouTube và cPanel,” ông nói thêm.
Hơn nữa, cuộc điều tra của nhóm đã dẫn đến nhiều bí danh, kênh liên lạc và kho lưu trữ khác nhau được các tác nhân đe dọa sử dụng, bao gồm các bí danh như “Liu Kong”, “MR Meta”, MeoBlackA và “John Macollan” được tìm thấy trong các nhóm như “Pwn3rzs Chat”. ,' 'Phòng chờ Rồng Vàng', 'Data Pro' và 'Diễn đàn KGB.'
Vào ngày 18 tháng XNUMX, phần mềm độc hại đã được công chúng biết đến và được báo cáo trên VirusTotal.
“Sự không chắc chắn về cách dữ liệu sẽ được sử dụng sẽ gây ra một số phức tạp từ quan điểm giảm thiểu nhưng các bước mà tổ chức nên thực hiện để khắc phục phải giống nhau. Đào tạo người dùng cách xác định các liên kết độc hại tiềm ẩn và áp dụng các bản vá bảo mật cho các lỗ hổng là một trong những bước đầu tiên mà tổ chức nên thực hiện để ngăn chặn một cuộc tấn công như thế này”, Monson cho biết.
Ông nói thêm: “Trong trường hợp phần mềm độc hại đó được tìm thấy với loại khả năng này, bạn nên đặt lại mật khẩu của những người dùng bị ảnh hưởng vì thông tin đó có thể được sử dụng trong một cuộc tấn công thứ cấp với những tác động lớn hơn”.
Một phần mềm độc hại khác, Phemedrone, có tất cả các đặc điểm của Ov3r_Stealer nhưng được viết bằng ngôn ngữ khác (C#). Bạn nên tìm kiếm thông qua phép đo từ xa để xác định mọi khả năng sử dụng phần mềm độc hại này và các biến thể của nó trong hệ thống mặc dù các IOC được liệt kê có thể không liên quan đến các cuộc tấn công phần mềm độc hại hiện tại.
Từ chối trách nhiệm
Phù hợp với Hướng dẫn của Dự án Tin cậy, xin lưu ý rằng thông tin được cung cấp trên trang này không nhằm mục đích và không được hiểu là tư vấn pháp lý, thuế, đầu tư, tài chính hoặc bất kỳ hình thức tư vấn nào khác. Điều quan trọng là chỉ đầu tư những gì bạn có thể đủ khả năng để mất và tìm kiếm lời khuyên tài chính độc lập nếu bạn có bất kỳ nghi ngờ nào. Để biết thêm thông tin, chúng tôi khuyên bạn nên tham khảo các điều khoản và điều kiện cũng như các trang trợ giúp và hỗ trợ do nhà phát hành hoặc nhà quảng cáo cung cấp. MetaversePost cam kết báo cáo chính xác, không thiên vị nhưng điều kiện thị trường có thể thay đổi mà không cần thông báo trước.
Giới thiệu về Tác giả
Kumar là một Nhà báo Công nghệ giàu kinh nghiệm với chuyên môn về các lĩnh vực giao thoa năng động giữa AI/ML, công nghệ tiếp thị và các lĩnh vực mới nổi như tiền điện tử, chuỗi khối và NFTs. Với hơn 3 năm kinh nghiệm trong ngành, Kumar đã tạo dựng được thành tích đã được chứng minh trong việc tạo ra các câu chuyện hấp dẫn, thực hiện các cuộc phỏng vấn sâu sắc và cung cấp những hiểu biết toàn diện. Chuyên môn của Kumar nằm ở việc tạo ra nội dung có tác động cao, bao gồm các bài viết, báo cáo và ấn phẩm nghiên cứu cho các nền tảng công nghiệp nổi bật. Với bộ kỹ năng độc đáo kết hợp kiến thức kỹ thuật và kể chuyện, Kumar xuất sắc trong việc truyền đạt các khái niệm công nghệ phức tạp cho nhiều đối tượng khác nhau theo cách rõ ràng và hấp dẫn.
Xem thêm bài viếtKumar là một Nhà báo Công nghệ giàu kinh nghiệm với chuyên môn về các lĩnh vực giao thoa năng động giữa AI/ML, công nghệ tiếp thị và các lĩnh vực mới nổi như tiền điện tử, chuỗi khối và NFTs. Với hơn 3 năm kinh nghiệm trong ngành, Kumar đã tạo dựng được thành tích đã được chứng minh trong việc tạo ra các câu chuyện hấp dẫn, thực hiện các cuộc phỏng vấn sâu sắc và cung cấp những hiểu biết toàn diện. Chuyên môn của Kumar nằm ở việc tạo ra nội dung có tác động cao, bao gồm các bài viết, báo cáo và ấn phẩm nghiên cứu cho các nền tảng công nghiệp nổi bật. Với bộ kỹ năng độc đáo kết hợp kiến thức kỹ thuật và kể chuyện, Kumar xuất sắc trong việc truyền đạt các khái niệm công nghệ phức tạp cho nhiều đối tượng khác nhau theo cách rõ ràng và hấp dẫn.