Programari maliciós Ov3r_Stealer
Els actors de l'amenaça estan explotant anuncis de feina falsos a Facebook per enganyar les víctimes potencials perquè instal·lin sense voler un nou programari maliciós basat en Windows conegut com Ov3r_Stealer. Aquest programari amenaçador està dissenyat específicament per robar credencials i carteres criptogràfiques, reenviant les dades recollides a un canal de Telegram supervisat per l'actor de l'amenaça.
Ov3r_Stealer presenta una àmplia gamma de capacitats, com ara l'extracció d'ubicacions basades en adreces IP, informació de maquinari, contrasenyes, galetes, dades de targeta de crèdit, dades d'emplenament automàtic, extensions de navegador, carteres criptogràfiques, documents de Microsoft Office i una llista de seguretat instal·lada. productes a l'amfitrió compromès.
Tot i que l'objectiu final d'aquesta campanya encara no està clar, la informació obtinguda probablement s'ofereix a la venda a altres actors d'amenaça. Alternativament, Ov3r_Stealer pot patir actualitzacions al llarg del temps, transformant-se potencialment en un carregador similar a QakBot , facilitant el desplegament de càrregues útils addicionals, com ara el ransomware.
Taula de continguts
La cadena d'atac desplegant el programari maliciós Ov3r_Stealer
L'atac comença amb un fitxer PDF armat, que es presenta falsament com un document emmagatzemat a OneDrive. Anima els usuaris a fer clic al botó "Accés al document" incrustat dins. Els investigadors han identificat la distribució d'aquest fitxer PDF a través d'un compte de Facebook enganyós que es fa passar com a CEO d'Amazon, Andy Jassy, i anuncis fraudulents de Facebook que anuncien posicions de publicitat digital.
En fer clic al botó, els usuaris reben un fitxer de drecera d'Internet (.URL) disfressat com un document DocuSign allotjat a la xarxa de lliurament de contingut (CDN) de Discord. Aquest fitxer de drecera serveix com a via per lliurar un fitxer d'elements del tauler de control (.CPL), que després s'executa mitjançant el procés binari del tauler de control de Windows ('control.exe').
L'execució del fitxer CPL s'inicia la recuperació d'un carregador de PowerShell ('DATA1.txt') des d'un repositori de GitHub, que finalment condueix al llançament d'Ov3r_Stealer.
Similituds entre Ov3r_Stealer i altres amenaces de programari maliciós
Els investigadors de ciberseguretat destaquen que els actors de l'amenaça van utilitzar una cadena d'infecció gairebé idèntica per desplegar un altre lladre conegut com Phhemedrone Stealer, aprofitant la vulnerabilitat de bypass de Microsoft Windows Defender SmartScreen (CVE-2023-36025, puntuació CVSS: 8,8). La semblança s'estén més, amb la utilització del dipòsit de GitHub (nateeintanan2527) i la presència de similituds a nivell de codi entre Ov3r_Stealer i Phhemedrone. És concebible que Phhemedrone hagi estat reutilitzat i rebranding com a Ov3r_Stealer, amb la distinció principal que Phhemedrone està codificat en C#.
Per reforçar els vincles entre els dos programes maliciosos robadors, s'ha observat que l'actor de l'amenaça comparteix notícies sobre Phhemedrone Stealer als seus canals de Telegram per millorar la "credència al carrer" del seu negoci de programari maliciós com a servei (MaaS).
Un dels missatges observats diu: "El meu robador personalitzat està fent titulars, mostrant la seva evasió". Sóc el desenvolupador que hi ha darrere, molt emocionat ara mateix". Els actors de l'amenaça expressen frustració pel fet que, malgrat els seus esforços per mantenir-ho tot "en la memòria", els caçadors d'amenaces van aconseguir "invertir tota la cadena d'explotació".
Com podeu evitar atacs de pesca que generen amenaces de programari maliciós?
Evitar atacs de pesca que generen amenaces de programari maliciós requereix una combinació de vigilància, consciència i l'adopció de les millors pràctiques per a la seguretat en línia. Aquests són alguns passos clau que els usuaris poden prendre per protegir-se de ser víctimes d'atacs de pesca:
- Sigueu escèptics amb els correus electrònics no sol·licitats : eviteu obrir correus electrònics de remitents desconeguts.
- Aneu amb compte encara que sembli que el correu electrònic prové d'una font coneguda; verificar l'adreça de correu electrònic del remitent en cas de dubte.
- Verifiqueu els URL i els enllaços : passeu el cursor per sobre dels enllaços de correu electrònic per previsualitzar l'URL abans de fer clic.
- Verifiqueu la legitimitat del lloc web comparant l'URL del correu electrònic amb l'adreça del lloc web oficial.
- Comproveu el contingut del correu electrònic per detectar senyals vermelles : cerqueu errors ortogràfics i gramaticals, que poden indicar intents de pesca. Aneu amb compte amb el llenguatge urgent o amenaçador que us pressioni a prendre mesures immediates.
- Actualitzeu i utilitzeu el programari de seguretat : mantingueu actualitzats el vostre sistema operatiu, programari anti-malware i aplicacions. Utilitzeu programari de seguretat de confiança per oferir protecció en temps real contra programari maliciós.
- Prepareu-vos i manteniu-vos informat : estigueu informat sobre les tàctiques de pesca i les amenaces de programari maliciós més recents. Informa't sobre els indicadors de pesca habituals, com ara salutacions genèriques i sol·licituds d'informació sensible.
- Aneu amb compte amb els fitxers adjunts : eviteu obrir fitxers adjunts de fonts desconegudes o inesperades. Corroborar la legitimitat del remitent abans de descarregar o obrir fitxers adjunts.
- Vigileu les tàctiques d'enginyeria social : aneu amb compte amb les sol·licituds d'informació sensible, especialment contrasenyes o detalls financers. Verifiqueu la identitat de les persones o organitzacions que fan sol·licituds inusuals mitjançant un canal de confiança.
Si incorporeu aquestes pràctiques al vostre comportament en línia, podeu reduir el risc de ser víctime d'atacs de pesca que generen amenaces de programari maliciós de manera significativa. Mantenir-se vigilant i actualitzar contínuament els vostres coneixements sobre les millors pràctiques de ciberseguretat és crucial en el panorama en constant evolució de les amenaces en línia.
