Multi-License Discount Quote
Βάση δεδομένων απειλών Malware Ov3r_Stealer Malware

Ov3r_Stealer Malware

Μέχρι το Mezo το Malware, Phishing, Stealers
Μετάφραση σε:
Ελληνικά

Οι φορείς απειλών εκμεταλλεύονται ψεύτικες αγγελίες εργασίας στο Facebook για να εξαπατήσουν τα πιθανά θύματα να εγκαταστήσουν άθελά τους ένα νέο κακόβουλο λογισμικό που βασίζεται στα Windows, γνωστό ως Ov3r_Stealer. Αυτό το απειλητικό λογισμικό έχει σχεδιαστεί ειδικά για να κλέβει διαπιστευτήρια και κρυπτογραφικά πορτοφόλια, προωθώντας τα δεδομένα που συλλέγονται σε ένα κανάλι Telegram που παρακολουθείται από τον παράγοντα απειλής.

Το Ov3r_Stealer παρουσιάζει ένα ευρύ φάσμα δυνατοτήτων, συμπεριλαμβανομένης της εξαγωγής τοποθεσίας βάσει διεύθυνσης IP, πληροφοριών υλικού, κωδικών πρόσβασης, cookies, στοιχείων πιστωτικής κάρτας, δεδομένων αυτόματης συμπλήρωσης, επεκτάσεων προγράμματος περιήγησης, πορτοφολιών κρυπτογράφησης, εγγράφων του Microsoft Office και μιας λίστας εγκατεστημένων ασφάλειας προϊόντα στον παραβιασμένο κεντρικό υπολογιστή.

Αν και ο απώτερος στόχος αυτής της εκστρατείας παραμένει ασαφής, οι πληροφορίες που ελήφθησαν πιθανότατα προσφέρονται προς πώληση σε άλλους παράγοντες απειλών. Εναλλακτικά, το Ov3r_Stealer ενδέχεται να υποβληθεί σε ενημερώσεις με την πάροδο του χρόνου, ενδεχομένως να μετατραπεί σε φορτωτή παρόμοιο με το QakBot , διευκολύνοντας την ανάπτυξη πρόσθετων ωφέλιμων φορτίων, όπως ransomware.

Η αλυσίδα επίθεσης που αναπτύσσει το κακόβουλο λογισμικό Ov3r_Stealer

Η επίθεση ξεκινά με ένα οπλισμένο αρχείο PDF, που παρουσιάζεται ψευδώς ως έγγραφο που είναι αποθηκευμένο στο OneDrive. Ενθαρρύνει τους χρήστες να κάνουν κλικ σε ένα κουμπί «Πρόσβαση στο έγγραφο» που είναι ενσωματωμένο. Οι ερευνητές εντόπισαν τη διανομή αυτού του αρχείου PDF μέσω ενός παραπλανητικού λογαριασμού στο Facebook που υποδύεται τον διευθύνοντα σύμβουλο της Amazon Andy Jassy και δόλιες διαφημίσεις Facebook που διαφημίζουν θέσεις ψηφιακής διαφήμισης.

Κάνοντας κλικ στο κουμπί, οι χρήστες λαμβάνουν ένα αρχείο συντόμευσης Διαδικτύου (.URL) που είναι μεταμφιεσμένο ως έγγραφο DocuSign που φιλοξενείται στο δίκτυο παράδοσης περιεχομένου (CDN) του Discord. Αυτό το αρχείο συντόμευσης χρησιμεύει ως διαδρομή για την παράδοση ενός αρχείου στοιχείου πίνακα ελέγχου (.CPL), το οποίο στη συνέχεια εκτελείται χρησιμοποιώντας το δυαδικό σύστημα του Πίνακα Ελέγχου των Windows ('control.exe').

Η εκτέλεση του αρχείου CPL ξεκινά την ανάκτηση ενός φορτωτή PowerShell ('DATA1.txt') από ένα αποθετήριο GitHub, οδηγώντας τελικά στην εκκίνηση του Ov3r_Stealer.

Ομοιότητες μεταξύ του Ov3r_Stealer και άλλων απειλών κακόβουλου λογισμικού

Οι ερευνητές στον τομέα της κυβερνοασφάλειας υπογραμμίζουν ότι οι φορείς απειλών χρησιμοποίησαν μια σχεδόν πανομοιότυπη αλυσίδα μόλυνσης για να αναπτύξουν έναν άλλο κλέφτη γνωστό ως Phemedrone Stealer, εκμεταλλευόμενοι την ευπάθεια παράκαμψης του Microsoft Windows Defender SmartScreen (CVE-2023-36025, βαθμολογία CVSS: 8,8). Η ομοιότητα επεκτείνεται περαιτέρω, με τη χρήση του αποθετηρίου GitHub (nateeintanan2527) και την παρουσία ομοιοτήτων σε επίπεδο κώδικα μεταξύ του Ov3r_Stealer και του Phemedrone. Είναι κατανοητό ότι το Phemedrone έχει υποστεί επαναχρησιμοποίηση και μετονομασία ως Ov3r_Stealer, με την κύρια διάκριση να είναι ότι το Phemedrone κωδικοποιείται σε C#.

Για να ενισχυθούν οι δεσμοί μεταξύ των δύο κακόβουλων προγραμμάτων κλοπής, ο παράγοντας απειλής έχει παρατηρηθεί να μοιράζεται ειδήσεις σχετικά με το Phemedrone Stealer στα κανάλια του Telegram για να ενισχύσει την «πίστη του δρόμου» της επιχείρησής τους για κακόβουλο λογισμικό ως υπηρεσία (MaaS).

Ένα από τα μηνύματα που παρατηρήθηκαν είναι: «Ο δικός μου κλέφτης γίνεται πρωτοσέλιδο, επιδεικνύοντας την υπεκφυγή του. Είμαι ο προγραμματιστής πίσω από αυτό, τόσο ενθουσιασμένος αυτή τη στιγμή». Οι φορείς απειλών εκφράζουν την απογοήτευσή τους για το γεγονός ότι παρά τις προσπάθειές τους να κρατήσουν τα πάντα «στη μνήμη», οι κυνηγοί απειλών κατάφεραν «να ανατρέψουν ολόκληρη την αλυσίδα εκμετάλλευσης».

Πώς μπορείτε να αποφύγετε επιθέσεις phishing που προκαλούν απειλές κακόβουλου λογισμικού;

Η αποφυγή επιθέσεων phishing που εκπέμπουν απειλές κακόβουλου λογισμικού απαιτεί έναν συνδυασμό επαγρύπνησης, ευαισθητοποίησης και υιοθέτησης βέλτιστων πρακτικών για την ασφάλεια στο διαδίκτυο. Ακολουθούν ορισμένα βασικά βήματα που μπορούν να λάβουν οι χρήστες για να προστατευτούν από το να πέσουν θύματα επιθέσεων phishing:

  • Να είστε δύσπιστοι ως προς τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου : Αποφύγετε να ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς.
  • Να είστε προσεκτικοί ακόμα κι αν το email φαίνεται να προέρχεται από γνωστή πηγή. επαληθεύστε τη διεύθυνση email του αποστολέα εάν έχετε αμφιβολίες.
  • Επαλήθευση διευθύνσεων URL και συνδέσμων : Τοποθετήστε το δείκτη του ποντικιού πάνω από συνδέσμους ηλεκτρονικού ταχυδρομείου για να κάνετε προεπισκόπηση της διεύθυνσης URL πριν κάνετε κλικ.
  • Επαληθεύστε τη νομιμότητα του ιστότοπου συγκρίνοντας τη διεύθυνση URL στο email με τη διεύθυνση του επίσημου ιστότοπου.
  • Ελέγξτε το περιεχόμενο email για κόκκινες σημαίες : Αναζητήστε ορθογραφικά και γραμματικά λάθη, τα οποία μπορεί να υποδηλώνουν απόπειρες ηλεκτρονικού ψαρέματος. Να είστε επιφυλακτικοί με την επείγουσα ή απειλητική γλώσσα που σας πιέζει να αναλάβετε άμεση δράση.
  • Ενημέρωση και χρήση λογισμικού ασφαλείας : Διατηρήστε ενημερωμένα το λειτουργικό σας σύστημα, το λογισμικό προστασίας από κακόβουλο λογισμικό και τις εφαρμογές σας. Χρησιμοποιήστε αξιόπιστο λογισμικό ασφαλείας για την παροχή προστασίας σε πραγματικό χρόνο από κακόβουλο λογισμικό.
  • Προετοιμαστείτε και μείνετε ενημερωμένοι : Μείνετε ενημερωμένοι για τις πιο πρόσφατες τακτικές phishing και απειλές κακόβουλου λογισμικού. Εκπαιδευτείτε σε κοινούς δείκτες phishing, όπως γενικούς χαιρετισμούς και αιτήματα για ευαίσθητες πληροφορίες.
  • Να είστε προσεκτικοί με τα συνημμένα : Αποφύγετε το άνοιγμα συνημμένων από άγνωστες ή μη αναμενόμενες πηγές. Επιβεβαιώστε τη νομιμότητα του αποστολέα πριν από τη λήψη ή το άνοιγμα συνημμένων.
  • Παρακολουθήστε τις τακτικές κοινωνικής μηχανικής : Να είστε προσεκτικοί με αιτήματα για ευαίσθητες πληροφορίες, ειδικά κωδικούς πρόσβασης ή οικονομικές λεπτομέρειες. Επαληθεύστε την ταυτότητα ατόμων ή οργανισμών που υποβάλλουν ασυνήθιστα αιτήματα μέσω ενός αξιόπιστου καναλιού.

Ενσωματώνοντας αυτές τις πρακτικές στη διαδικτυακή σας συμπεριφορά, μπορείτε να μειώσετε σημαντικά τον κίνδυνο να πέσετε θύματα επιθέσεων ηλεκτρονικού "ψαρέματος" που προκαλούν απειλές κακόβουλου λογισμικού. Το να παραμένετε σε εγρήγορση και να ενημερώνετε συνεχώς τις γνώσεις σας σχετικά με τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο είναι ζωτικής σημασίας στο συνεχώς εξελισσόμενο τοπίο των διαδικτυακών απειλών.


Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
32,230
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...