Multi-License Discount Quote
Trusseldatabase Malware Ov3r_Stealer Malware

Ov3r_Stealer Malware

Med Mezo i Malware, Phishing, Stealers
Oversæt til:
Dansk

Trusselsaktører udnytter falske jobannoncer på Facebook til at bedrage potentielle ofre til uforvarende at installere en ny Windows-baseret malware kendt som Ov3r_Stealer. Denne truende software er specielt udformet til at stjæle legitimationsoplysninger og krypto-tegnebøger og videresende de indsamlede data til en Telegram-kanal, der overvåges af trusselsaktøren.

Ov3r_Stealer udviser en bred vifte af muligheder, herunder udtrækning af IP-adressebaseret placering, hardwareoplysninger, adgangskoder, cookies, kreditkortoplysninger, automatisk udfyldning af data, browserudvidelser, kryptotegnebøger, Microsoft Office-dokumenter og en liste over installeret sikkerhed produkter på den kompromitterede vært.

Selvom det endelige formål med denne kampagne forbliver uklart, udbydes den opnåede information sandsynligvis til salg til andre trusselsaktører. Alternativt kan Ov3r_Stealer gennemgå opdateringer over tid, potentielt transformere til en loader, der ligner QakBot , hvilket letter implementeringen af yderligere nyttelast, såsom ransomware.

Angrebskæden, der implementerer Ov3r_Stealer-malwaren

Angrebet begynder med en bevæbnet PDF-fil, der fejlagtigt præsenterer sig selv som et dokument gemt på OneDrive. Det opfordrer brugerne til at klikke på en 'Adgang til dokument'-knap, der er indlejret i. Forskere har lokaliseret distributionen af denne PDF-fil gennem en vildledende Facebook-konto, der udgiver sig for at være Amazons administrerende direktør Andy Jassy, og svigagtige Facebook-annoncer, der annoncerer digitale annonceringsstillinger.

Ved at klikke på knappen modtager brugere en internetgenvejsfil (.URL) forklædt som et DocuSign-dokument, der hostes på Discords indholdsleveringsnetværk (CDN). Denne genvejsfil fungerer som en sti til at levere en kontrolpanelelement-fil (.CPL), som derefter udføres ved hjælp af Windows Kontrolpanels procesbinære ('control.exe').

Udførelse af CPL-filen starter hentning af en PowerShell-indlæser ('DATA1.txt') fra et GitHub-lager, hvilket i sidste ende fører til lanceringen af Ov3r_Stealer.

Ligheder mellem Ov3r_Stealer og andre malware-trusler

Cybersikkerhedsforskere fremhæver, at trusselsaktører brugte en næsten identisk infektionskæde til at implementere en anden tyver, kendt som Phemedrone Stealer, og udnyttede Microsoft Windows Defender SmartScreen-bypass-sårbarheden (CVE-2023-36025, CVSS-score: 8,8). Ligheden strækker sig yderligere med brugen af GitHub-depotet (nateeintanan2527) og tilstedeværelsen af ligheder på kodeniveau mellem Ov3r_Stealer og Phemedrone. Det er tænkeligt, at Phemedrone har gennemgået genbrug og rebranding som Ov3r_Stealer, hvor den primære skelnen er, at Phemedrone er kodet i C#.

For at forstærke forbindelsen mellem de to stjælende malware er trusselsaktøren blevet observeret dele nyhedsrapporter om Phemedrone Stealer på deres Telegram-kanaler for at forbedre 'street cred' af deres malware-as-a-service (MaaS) forretning.

En af de observerede beskeder lyder: 'Min brugerdefinerede stjæler skaber overskrifter og viser dens undvigelse. Jeg er udvikleren bag det, så begejstret lige nu.' Trusselsaktørerne udtrykker frustration over, at trods deres bestræbelser på at holde alt 'i hukommelsen' lykkedes det trusselsjægere at 'vende hele udnyttelseskæden.'

Hvordan kan du undgå phishing-angreb, der leverer malware-trusler?

At undgå phishing-angreb, der leverer malware-trusler, kræver en kombination af årvågenhed, opmærksomhed og vedtagelse af bedste praksis for onlinesikkerhed. Her er nogle vigtige skridt, som brugere kan tage for at beskytte sig selv mod at blive ofre for phishing-angreb:

  • Vær skeptisk over for uopfordrede e-mails : Undgå at åbne e-mails fra ukendte afsendere.
  • Vær forsigtig, selvom e-mailen ser ud til at komme fra en kendt kilde; bekræfte afsenderens e-mailadresse, hvis du er i tvivl.
  • Bekræft URL'er og links : Hold markøren over e-mail-links for at få vist URL'en, før du klikker.
  • Bekræft hjemmesidens legitimitet ved at sammenligne URL'en i e-mailen med den officielle hjemmesides adresse.
  • Tjek e-mail-indhold for røde flag : Se efter stave- og grammatikfejl, som kan indikere phishing-forsøg. Vær på vagt over for presserende eller truende sprogbrug, der presser dig til at handle med det samme.
  • Opdater og brug sikkerhedssoftware : Hold dit operativsystem, anti-malware-software og applikationer opdateret. Brug velrenommeret sikkerhedssoftware til at give realtidsbeskyttelse mod malware.
  • Forbered dig selv og bliv informeret : Hold dig orienteret om de seneste phishing-taktikker og malware-trusler. Uddan dig selv om almindelige phishing-indikatorer, såsom generiske hilsner og anmodninger om følsomme oplysninger.
  • Vær forsigtig med vedhæftede filer : Undgå at åbne vedhæftede filer fra ukendte eller uventede kilder. Bekræft afsenderens legitimitet, før du downloader eller åbner vedhæftede filer.
  • Hold øje med Social Engineering Tactics : Vær forsigtig med anmodninger om følsomme oplysninger, især adgangskoder eller økonomiske detaljer. Bekræft identiteten på enkeltpersoner eller organisationer, der fremsætter usædvanlige anmodninger via en betroet kanal.

Ved at inkorporere denne praksis i din onlineadfærd kan du forkorte risikoen for at blive offer for phishing-angreb, der leverer malware-trusler betydeligt. At være på vagt og løbende opdatere din viden om bedste praksis for cybersikkerhed er afgørende i det stadigt udviklende landskab af onlinetrusler.


Trending

Mest sete

Indlæser...