البرامج الضارة Ov3r_Stealer

يستغل ممثلو التهديد إعلانات الوظائف الزائفة على فيسبوك لخداع الضحايا المحتملين وتثبيت برنامج ضار جديد قائم على نظام التشغيل Windows يُعرف باسم Ov3r_Stealer عن غير قصد. تم تصميم برنامج التهديد هذا خصيصًا لسرقة بيانات الاعتماد ومحافظ العملات المشفرة، وإعادة توجيه البيانات المجمعة إلى قناة Telegram التي يراقبها جهة التهديد.

يعرض Ov3r_Stealer مجموعة واسعة من الإمكانات، بما في ذلك استخراج الموقع المستند إلى عنوان IP ومعلومات الأجهزة وكلمات المرور وملفات تعريف الارتباط وتفاصيل بطاقة الائتمان وبيانات الملء التلقائي وملحقات المتصفح ومحافظ التشفير ومستندات Microsoft Office وقائمة الأمان المثبتة المنتجات على المضيف المخترق.

على الرغم من أن الهدف النهائي لهذه الحملة لا يزال غير واضح، فمن المحتمل أن يتم عرض المعلومات التي تم الحصول عليها للبيع إلى جهات تهديد أخرى. وبدلاً من ذلك، قد يخضع Ov3r_Stealer للتحديثات بمرور الوقت، ومن المحتمل أن يتحول إلى محمل مشابه لـ QakBot ، مما يسهل نشر حمولات إضافية، مثل برامج الفدية.

سلسلة الهجوم تنشر البرنامج الضار Ov3r_Stealer

يبدأ الهجوم بملف PDF مُسلح، يُقدم نفسه بشكل خاطئ على أنه مستند مُخزن على OneDrive. إنه يشجع المستخدمين على النقر فوق زر "الوصول إلى المستند" المضمن بداخله. حدد الباحثون توزيع ملف PDF هذا من خلال حساب فيسبوك مخادع يتظاهر بأنه الرئيس التنفيذي لشركة أمازون آندي جاسي وإعلانات فيسبوك الاحتيالية التي تعلن عن مواقع إعلانية رقمية.

عند النقر فوق الزر، يتلقى المستخدمون ملف اختصار إنترنت (.URL) متنكرًا في شكل مستند DocuSign مستضاف على شبكة توصيل المحتوى (CDN) الخاصة بـ Discord. يعمل ملف الاختصار هذا كمسار لتسليم ملف عنصر لوحة التحكم (.CPL)، والذي يتم تنفيذه بعد ذلك باستخدام عملية لوحة تحكم Windows الثنائية ("control.exe").

يؤدي تنفيذ ملف CPL إلى بدء استرداد محمل PowerShell ('DATA1.txt') من مستودع GitHub، مما يؤدي في النهاية إلى إطلاق Ov3r_Stealer.

أوجه التشابه بين Ov3r_Stealer وتهديدات البرامج الضارة الأخرى

يسلط باحثو الأمن السيبراني الضوء على أن الجهات الفاعلة في مجال التهديد استخدمت سلسلة عدوى متطابقة تقريبًا لنشر أداة سرقة أخرى تُعرف باسم Phemedrone Stealer، مستغلة ثغرة تجاوز Microsoft Windows Defender SmartScreen (CVE-2023-36025، درجة CVSS: 8.8). ويمتد التشابه إلى أبعد من ذلك، مع استخدام مستودع GitHub (nateeintanan2527) ووجود أوجه تشابه على مستوى التعليمات البرمجية بين Ov3r_Stealer وPhemedrone. من الممكن أن يكون Phemedrone قد خضع لعملية إعادة استخدام وإعادة تسمية العلامة التجارية باسم Ov3r_Stealer، مع التمييز الأساسي وهو أن Phemedrone مشفر بلغة C#.

لتعزيز الروابط بين البرنامجين الضارين للسرقة، تمت ملاحظة ممثل التهديد وهو يشارك تقارير إخبارية حول Phemedrone Stealer على قنوات Telegram الخاصة به لتعزيز "مصداقية الشارع" لأعمال البرمجيات الخبيثة كخدمة (MaaS).

تقول إحدى الرسائل التي تمت ملاحظتها: "السارق المخصص لي يتصدر عناوين الأخبار، ويعرض مراوغته". أنا المطور وراء ذلك، وأنا سعيد للغاية الآن. يعبر ممثلو التهديد عن إحباطهم من حقيقة أنه على الرغم من جهودهم للحفاظ على كل شيء "في الذاكرة"، تمكن صائدو التهديدات من "عكس سلسلة الاستغلال بأكملها".

كيف يمكنك تجنب هجمات التصيد التي تقدم تهديدات البرامج الضارة؟

يتطلب تجنب هجمات التصيد الاحتيالي التي تقدم تهديدات البرامج الضارة مزيجًا من اليقظة والوعي واعتماد أفضل الممارسات للأمان عبر الإنترنت. فيما يلي بعض الخطوات الأساسية التي يمكن للمستخدمين اتخاذها لحماية أنفسهم من الوقوع ضحية لهجمات التصيد الاحتيالي:

• كن متشككا في رسائل البريد الإلكتروني غير المرغوب فيها : تجنب فتح رسائل البريد الإلكتروني من مرسلين غير معروفين.
• كن حذرًا حتى لو بدت رسالة البريد الإلكتروني واردة من مصدر معروف؛ تحقق من عنوان البريد الإلكتروني للمرسل إذا كنت في شك.
• التحقق من عناوين URL والروابط : قم بالتمرير فوق روابط البريد الإلكتروني لمعاينة عنوان URL قبل النقر عليه.
• تحقق من شرعية موقع الويب من خلال مقارنة عنوان URL الموجود في البريد الإلكتروني بعنوان الموقع الرسمي.
• التحقق من وجود علامات حمراء في محتوى البريد الإلكتروني : ابحث عن الأخطاء الإملائية والنحوية، والتي يمكن أن تشير إلى محاولات التصيد الاحتيالي. كن حذرًا من اللغة العاجلة أو التهديدية التي تضغط عليك لاتخاذ إجراء فوري.
• تحديث برامج الأمان واستخدامها : حافظ على تحديث نظام التشغيل وبرامج مكافحة البرامج الضارة والتطبيقات. استخدم برامج الأمان ذات السمعة الطيبة لتوفير الحماية في الوقت الحقيقي ضد البرامج الضارة.
• جهز نفسك وابق على اطلاع : ابق على اطلاع بأحدث أساليب التصيد الاحتيالي وتهديدات البرامج الضارة. تثقيف نفسك بشأن مؤشرات التصيد الاحتيالي الشائعة، مثل التحيات العامة وطلبات الحصول على معلومات حساسة.
• كن حذرًا مع المرفقات : تجنب فتح المرفقات من مصادر غير معروفة أو غير متوقعة. تأكد من شرعية المرسل قبل تنزيل المرفقات أو فتحها.
• انتبه إلى تكتيكات الهندسة الاجتماعية : كن حذرًا من طلبات الحصول على معلومات حساسة، خاصة كلمات المرور أو التفاصيل المالية. التحقق من هوية الأفراد أو المنظمات التي تقدم طلبات غير عادية من خلال قناة موثوقة.

من خلال دمج هذه الممارسات في سلوكك عبر الإنترنت، يمكنك تقليل خطر الوقوع ضحية لهجمات التصيد التي تقدم تهديدات البرامج الضارة بشكل كبير. يعد البقاء يقظًا والتحديث المستمر لمعرفتك بشأن أفضل ممارسات الأمن السيبراني أمرًا بالغ الأهمية في المشهد المتطور باستمرار للتهديدات عبر الإنترنت.