Ov3r_Stealer pahavara

Ohutegijad kasutavad Facebookis võltsitud töökuulutusi, et petta potentsiaalseid ohvreid, et nad paigaldaksid tahtmatult uut Windowsi-põhist pahavara, mida tuntakse nimega Ov3r_Stealer. See ähvardav tarkvara on spetsiaalselt loodud mandaatide ja krüptorahakottide röövimiseks, edastades kogutud andmed Telegrami kanalile, mida ohustaja jälgib.

Ov3r_Stealer pakub laia valikut võimalusi, sealhulgas IP-aadressipõhise asukoha, riistvarateabe, paroolide, küpsiste, krediitkaardiandmete, automaatse täitmise andmete, brauserilaiendite, krüptorahakottide, Microsoft Office'i dokumentide ja installitud turbeseadmete loendi väljavõtmist. tooteid ohustatud hostis.

Kuigi selle kampaania lõppeesmärk jääb ebaselgeks, pakutakse saadud teavet tõenäoliselt müügiks teistele ohus osalejatele. Teise võimalusena võib Ov3r_Stealer aja jooksul värskendusi teha, muutudes potentsiaalselt QakBotiga sarnaseks laadijaks, mis hõlbustab täiendavate kasulike koormuste, näiteks lunavara, juurutamist.

Ov3r_Stealeri pahavara juurutav ründeahel

Rünnak algab relvastatud PDF-failiga, mis esitab end ekslikult OneDrive’i salvestatud dokumendina. See julgustab kasutajaid klõpsama sellesse manustatud nuppu „Juurdepääs dokumendile”. Teadlased on tuvastanud selle PDF-faili levitamise petliku Facebooki konto kaudu, mis esines Amazoni tegevjuhi Andy Jassyna, ja petturlike Facebooki reklaamide kaudu, mis reklaamivad digitaalse reklaami positsioone.

Nupule klõpsamisel saavad kasutajad Interneti otsetee (.URL) faili, mis on maskeeritud DocuSigni dokumendiks, mida hostitakse Discordi sisuedastusvõrgus (CDN). See otseteefail toimib teena juhtpaneeli üksuse (.CPL) faili edastamiseks, mis seejärel käivitatakse Windowsi juhtpaneeli protsessibinaarfaili ("control.exe") abil.

CPL-faili käivitamine käivitab PowerShelli laadija ('DATA1.txt') hankimise GitHubi hoidlast, mis viib lõpuks Ov3r_Stealeri käivitamiseni.

Sarnasused Ov3r_Stealeri ja muude pahavaraohtude vahel

Küberjulgeoleku uurijad rõhutavad, et ohus osalejad kasutasid peaaegu identset nakkusahelat, et juurutada teine varastaja, mida tuntakse kui Phemedrone Stealer, kasutades Microsoft Windows Defender SmartScreeni möödaviiguhaavatavus (CVE-2023-36025, CVSS skoor: 8,8). Sarnasus laieneb veelgi, kasutades GitHubi hoidlat (nateeintanan2527) ja kooditaseme sarnasusi Ov3r_Stealeri ja Phemedrone'i vahel. On mõeldav, et Phemedrone'i eesmärki on muudetud ja kaubamärki muudetud Ov3r_Stealeriks, kusjuures peamine erinevus seisneb selles, et Phemedrone on kodeeritud C#-s.

Kahe varastaja pahavara vaheliste seoste tugevdamiseks on täheldatud, et ohutegija jagab oma telegrammi kanalitel uudiseid Phemedrone Stealeri kohta, et suurendada oma pahavara kui teenuse (MaaS) äri "tänavakreedi".

Üks vaadeldud sõnumitest kõlab järgmiselt: „Minu kohandatud varastaja teeb pealkirju, demonstreerides oma kõrvalehoidmist. Olen selle taga arendaja, praegu nii vaimustuses. Ohutegijad väljendavad pettumust tõsiasja üle, et vaatamata nende püüdlustele kõike "mällu" hoida, õnnestus ohuküttidel "kogu ärakasutamisahel ümber pöörata".

Kuidas saate vältida andmepüügirünnakuid, mis toovad kaasa pahavaraohtu?

Pahavaraohte edastavate andmepüügirünnakute vältimine nõuab valvsust, teadlikkust ja võrguturbe parimate tavade kasutuselevõttu. Siin on mõned peamised sammud, mida kasutajad saavad astuda, et kaitsta end andmepüügirünnakute ohvriks langemise eest.

• Suhtuge soovimatute meilide suhtes skeptiliselt : vältige tundmatute saatjate meilide avamist.
• Olge ettevaatlik isegi siis, kui e-kiri näib pärinevat teadaolevast allikast; kahtluse korral kontrollige saatja meiliaadressi.
• URL-ide ja linkide kinnitamine : hõljutage kursorit meililinkide kohal, et vaadata URL-i eelvaadet enne klõpsamist.
• Kontrollige veebisaidi legitiimsust, võrreldes meilis sisalduvat URL-i ametliku veebisaidi aadressiga.
• Kontrollige e-posti sisu punaste lippude suhtes : otsige õigekirja- ja grammatikavigu, mis võivad viidata andmepüügikatsetele. Olge ettevaatlik kiireloomulise või ähvardava keelekasutusse, mis sunnib teid kohe tegutsema.
• Turvatarkvara värskendamine ja kasutamine : hoidke oma operatsioonisüsteem, pahavaratõrjetarkvara ja rakendused ajakohasena. Kasutage usaldusväärset turvatarkvara, et pakkuda reaalajas kaitset pahavara eest.
• Valmistage end ette ja olge kursis : olge kursis uusimate andmepüügitaktikate ja pahavaraohtudega. Harige end tavaliste andmepüüginäitajate, nagu üldised tervitused ja tundliku teabe päringud, osas.
• Olge manustega ettevaatlik : vältige tundmatutest või ootamatutest allikatest pärinevate manuste avamist. Enne manuste allalaadimist või avamist kontrollige saatja legitiimsust.
• Jälgige sotsiaalse inseneri taktikaid : olge ettevaatlik tundliku teabe, eriti paroolide või finantsandmete taotlustega. Kontrollige usaldusväärse kanali kaudu ebatavalisi taotlusi esitavate üksikisikute või organisatsioonide identiteeti.

Kui lisate need tavad oma võrgukäitumisse, saate märkimisväärselt vähendada ohtu sattuda pahavaraohtudega andmepüügirünnakute ohvriks. Pidevalt areneval veebiohtude maastikul on ülioluline olla valvas ja pidevalt täiendada oma teadmisi küberturvalisuse parimate tavade kohta.