Ov3r_Stealer Зловреден софтуер

Заплашващите лица използват фалшиви обяви за работа във Facebook, за да заблудят потенциалните жертви да инсталират несъзнателно нов злонамерен софтуер, базиран на Windows, известен като Ov3r_Stealer. Този заплашителен софтуер е специално създаден за кражба на идентификационни данни и крипто портфейли, препращайки събраните данни към канал на Telegram, наблюдаван от заплахата.

Ov3r_Stealer показва широка гама от възможности, включително извличане на базирано на IP адрес местоположение, хардуерна информация, пароли, бисквитки, данни за кредитна карта, данни за автоматично попълване, разширения на браузъра, крипто портфейли, документи на Microsoft Office и списък с инсталирана защита продукти на компрометирания хост.

Въпреки че крайната цел на тази кампания остава неясна, получената информация вероятно се предлага за продажба на други заплахи. Като алтернатива, Ov3r_Stealer може да претърпи актуализации с течение на времето, като потенциално се трансформира в товарач, подобен на QakBot , улесняващ внедряването на допълнителни полезни товари, като например рансъмуер.

Веригата от атаки Разгръщане на злонамерения софтуер Ov3r_Stealer

Атаката започва с въоръжен PDF файл, фалшиво представящ се като документ, съхраняван в OneDrive. Той насърчава потребителите да кликнат върху бутона „Достъп до документ“, вграден вътре. Изследователите са установили разпространението на този PDF файл чрез измамен акаунт във Facebook, представящ се за главен изпълнителен директор на Amazon Анди Джаси, и измамни реклами във Facebook, рекламиращи позиции за цифрова реклама.

При щракване върху бутона потребителите получават файл с пряк достъп до интернет (.URL), маскиран като документ на DocuSign, хостван в мрежата за доставка на съдържание (CDN) на Discord. Този файл с бърз достъп служи като път за доставяне на файл с елемент от контролния панел (.CPL), който след това се изпълнява с помощта на двоичния файл на процеса на контролния панел на Windows („control.exe“).

Изпълнението на CPL файла инициира извличането на товарач на PowerShell ('DATA1.txt') от хранилище на GitHub, което в крайна сметка води до стартирането на Ov3r_Stealer.

Прилики между Ov3r_Stealer и други заплахи от зловреден софтуер

Изследователите на киберсигурността подчертават, че участниците в заплахата са използвали почти идентична верига на заразяване, за да внедрят друг крадец, известен като Phemedrone Stealer, използвайки уязвимостта на Microsoft Windows Defender SmartScreen заобикаляйки (CVE-2023-36025, CVSS резултат: 8.8). Приликата се разширява допълнително с използването на хранилището на GitHub (nateeintanan2527) и наличието на прилики на ниво код между Ov3r_Stealer и Phemedrone. Възможно е Phemedrone да е претърпял повторно предназначение и ребрандиране като Ov3r_Stealer, като основната разлика е, че Phemedrone е кодиран в C#.

За да се подсилят връзките между двата зловреден софтуер крадец, заплахата е наблюдавана да споделя новинарски доклади за Phemedrone Stealer в своите канали в Telegram, за да подобри „уличното доверие“ на техния бизнес със зловреден софтуер като услуга (MaaS).

Едно от наблюдаваните съобщения гласи: „Моят персонализиран крадец прави заглавия, демонстрирайки своята уклончивост. Аз съм разработчикът зад него, толкова съм развълнуван в момента.“ Актьорите на заплахи изразяват разочарование от факта, че въпреки усилията им да запазят всичко „в паметта“, ловците на заплахи са успели да „обърнат цялата верига на експлойт“.

Как можете да избегнете фишинг атаки, които доставят заплахи от зловреден софтуер?

Избягването на фишинг атаки, които доставят заплахи от злонамерен софтуер, изисква комбинация от бдителност, осведоменост и приемане на най-добри практики за онлайн сигурност. Ето някои ключови стъпки, които потребителите могат да предприемат, за да се предпазят от това да станат жертва на фишинг атаки:

• Бъдете скептични към нежеланите имейли : Избягвайте да отваряте имейли от непознати податели.
• Бъдете внимателни, дори ако изглежда, че имейлът идва от известен източник; проверете имейл адреса на подателя, ако се съмнявате.
• Проверете URL адреси и връзки : Задръжте курсора на мишката над имейл връзките, за да визуализирате URL адреса, преди да щракнете.
• Проверете легитимността на уебсайта, като сравните URL адреса в имейла с адреса на официалния уебсайт.
• Проверете съдържанието на имейла за червени флагове : Потърсете правописни и граматически грешки, които могат да показват опити за фишинг. Внимавайте с неотложни или заплашителни думи, които ви принуждават да предприемете незабавни действия.
• Актуализирайте и използвайте защитен софтуер : Поддържайте актуални своята операционна система, анти-зловреден софтуер и приложения. Използвайте реномиран софтуер за сигурност, за да осигурите защита в реално време срещу зловреден софтуер.
• Подгответе се и бъдете информирани : Бъдете информирани за най-новите тактики за фишинг и заплахи от зловреден софтуер. Обучете се относно общи индикатори за фишинг, като общи поздрави и искания за чувствителна информация.
• Бъдете внимателни с прикачените файлове : Избягвайте да отваряте прикачени файлове от неизвестни или неочаквани източници. Потвърдете легитимността на подателя, преди да изтеглите или отворите прикачени файлове.
• Внимавайте за тактики на социално инженерство : Бъдете внимателни при искания за чувствителна информация, особено пароли или финансови подробности. Потвърдете самоличността на лица или организации, които правят необичайни заявки чрез доверен канал.

Като включите тези практики във вашето онлайн поведение, можете значително да намалите риска да станете жертва на фишинг атаки, доставящи заплахи за зловреден софтуер. Да останете бдителни и непрекъснато да актуализирате знанията си относно най-добрите практики за киберсигурност е от решаващо значение в непрекъснато развиващия се пейзаж на онлайн заплахи.