Multi-License Discount Quote
Databáze hrozeb Malware Malware Ov3r_Stealer

Malware Ov3r_Stealer

V roce Mezo v roce Malware, Phishing, Stealers
Přeložit do:
Čeština

Aktéři hrozeb využívají falešné pracovní inzeráty na Facebooku, aby oklamali potenciální oběti, aby si nevědomky nainstalovaly nový malware pro Windows známý jako Ov3r_Stealer. Tento ohrožující software je speciálně vytvořen tak, aby kradl přihlašovací údaje a kryptopeněženky a předával shromážděná data do telegramového kanálu monitorovaného aktérem hrozby.

Ov3r_Stealer vykazuje širokou škálu možností, včetně extrakce polohy na základě IP adresy, informací o hardwaru, hesel, souborů cookie, údajů o kreditních kartách, dat automatického vyplňování, rozšíření prohlížeče, kryptopeněženek, dokumentů Microsoft Office a seznamu nainstalovaných zabezpečení. produktů na kompromitovaném hostiteli.

Přestože konečný cíl této kampaně zůstává nejasný, získané informace jsou pravděpodobně nabízeny k prodeji dalším aktérům hrozeb. Alternativně může Ov3r_Stealer v průběhu času projít aktualizacemi a potenciálně se přeměnit na zavaděč podobný QakBot , což usnadní nasazení dalších užitečných zátěží, jako je ransomware.

The Attack Chain Nasazení malwaru Ov3r_Stealer

Útok začíná ozbrojeným souborem PDF, který se falešně prezentuje jako dokument uložený na OneDrive. Vybízí uživatele, aby klikli na tlačítko „Přístup k dokumentu“ vložené uvnitř. Výzkumníci přesně určili distribuci tohoto souboru PDF prostřednictvím klamavého účtu na Facebooku, který se vydával za generálního ředitele Amazonu Andyho Jassyho, a podvodné reklamy na Facebooku inzerující digitální reklamní pozice.

Po kliknutí na tlačítko uživatelé obdrží soubor internetové zkratky (.URL) maskovaný jako dokument DocuSign hostovaný v síti Discord pro doručování obsahu (CDN). Tento soubor zástupce slouží jako cesta k doručení souboru položky ovládacího panelu (.CPL), který se pak spustí pomocí binárního procesu ovládacího panelu systému Windows ('control.exe').

Spuštění souboru CPL zahájí načítání zavaděče PowerShell ('DATA1.txt') z úložiště GitHub, což nakonec vede ke spuštění Ov3r_Stealer.

Podobnosti mezi Ov3r_Stealer a jinými hrozbami malwaru

Výzkumníci v oblasti kybernetické bezpečnosti zdůrazňují, že aktéři hrozeb použili téměř identický infekční řetězec k nasazení dalšího zloděje známého jako Phemedrone Stealer, který využívá zranitelnost obcházení Microsoft Windows Defender SmartScreen (CVE-2023-36025, CVSS skóre: 8,8). Podobnost se dále rozšiřuje s využitím úložiště GitHub (nateeintanan2527) a přítomností podobností na úrovni kódu mezi Ov3r_Stealer a Phemedrone. Lze si představit, že Phemedrone prošel změnou účelu a přejmenováním na Ov3r_Stealer, přičemž primární rozdíl je v tom, že Phemedrone je kódován v C#.

Aby se posílilo propojení mezi těmito dvěma zlodějskými malware, byl aktér hrozby pozorován, jak sdílí zprávy o Phemedrone Stealer na svých telegramových kanálech, aby posílil „pouliční kredit“ jejich podnikání v oblasti malware-as-a-service (MaaS).

Jedna z pozorovaných zpráv zní: „Můj vlastní zloděj dělá titulky a předvádí svou vyhýbavost. Jsem vývojář, který za tím stojí, takže jsem právě teď nadšený.“ Aktéři hrozeb vyjadřují frustraci nad tím, že navzdory jejich snaze uchovat vše „v paměti“ se lovcům hrozeb podařilo „zvrátit celý řetězec využívání“.

Jak se můžete vyhnout phishingovým útokům, které přinášejí malwarové hrozby?

Vyhýbání se phishingovým útokům, které přinášejí malwarové hrozby, vyžaduje kombinaci ostražitosti, informovanosti a přijetí osvědčených postupů pro online bezpečnost. Zde je několik klíčových kroků, které mohou uživatelé podniknout, aby se ochránili, aby se nestali obětí phishingových útoků:

  • Buďte skeptický k nevyžádaným e-mailům : Vyhněte se otevírání e-mailů od neznámých odesílatelů.
  • Buďte opatrní, i když se zdá, že e-mail pochází ze známého zdroje; v případě pochybností ověřte e-mailovou adresu odesílatele.
  • Ověření adres URL a odkazů : Umístěním ukazatele myši na e-mailové odkazy zobrazíte náhled adresy URL před kliknutím.
  • Ověřte legitimitu webu porovnáním adresy URL v e-mailu s adresou oficiálního webu.
  • Zkontrolujte, zda obsah e-mailu neobsahuje červené příznaky : Hledejte pravopisné a gramatické chyby, které mohou naznačovat pokusy o phishing. Dávejte si pozor na naléhavé nebo výhružné výrazy, které vás nutí k okamžité akci.
  • Aktualizujte a používejte bezpečnostní software : Udržujte svůj operační systém, software proti malwaru a aplikace aktuální. Používejte renomovaný bezpečnostní software k zajištění ochrany před malwarem v reálném čase.
  • Připravte se a zůstaňte informováni : Buďte informováni o nejnovějších phishingových taktikách a hrozbách malwaru. Prostudujte si běžné indikátory phishingu, jako jsou obecné pozdravy a žádosti o citlivé informace.
  • Buďte opatrní s přílohami : Vyhněte se otevírání příloh z neznámých nebo neočekávaných zdrojů. Před stažením nebo otevřením příloh potvrďte legitimitu odesílatele.
  • Sledujte taktiku sociálního inženýrství : Buďte opatrní při žádostech o citlivé informace, zejména hesla nebo finanční údaje. Ověřte identitu jednotlivců nebo organizací, které podávají neobvyklé požadavky prostřednictvím důvěryhodného kanálu.

Začleněním těchto praktik do svého online chování můžete výrazně zkrátit riziko, že se stanete obětí phishingových útoků přinášejících malwarové hrozby. Zůstat ostražitý a neustále aktualizovat své znalosti o osvědčených postupech v oblasti kybernetické bezpečnosti je zásadní v neustále se vyvíjejícím prostředí online hrozeb.


Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
32,230
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...