Multi-License Discount Quote
پایگاه داده تهدید Malware بدافزار Ov3r_Stealer

بدافزار Ov3r_Stealer

تا Mezo در Malware, Phishing, Stealers
ترجمه به:
فارسی

عوامل تهدید از آگهی های شغلی جعلی در فیس بوک برای فریب قربانیان احتمالی برای نصب ناخواسته یک بدافزار جدید مبتنی بر ویندوز به نام Ov3r_Stealer سوء استفاده می کنند. این نرم‌افزار تهدیدکننده به‌طور خاص برای سرقت اعتبار و کیف پول‌های رمزنگاری‌شده ساخته شده است و داده‌های جمع‌آوری‌شده را به کانال تلگرامی که توسط عامل تهدید نظارت می‌شود، ارسال می‌کند.

Ov3r_Stealer طیف گسترده ای از قابلیت ها، از جمله استخراج مکان مبتنی بر آدرس IP، اطلاعات سخت افزاری، گذرواژه ها، کوکی ها، جزئیات کارت اعتباری، داده های تکمیل خودکار، برنامه های افزودنی مرورگر، کیف پول های رمزنگاری، اسناد مایکروسافت آفیس، و لیستی از امنیت نصب شده را به نمایش می گذارد. محصولات موجود در هاست در معرض خطر

اگرچه هدف نهایی این کمپین نامشخص است، اطلاعات به دست آمده احتمالاً برای فروش به سایر عوامل تهدید ارائه می شود. از طرف دیگر، Ov3r_Stealer ممکن است در طول زمان به‌روزرسانی شود، به طور بالقوه به لودری شبیه به QakBot تبدیل شود و استقرار بارهای اضافی مانند باج‌افزار را تسهیل کند.

زنجیره حمله در حال استقرار بدافزار Ov3r_Stealer

حمله با یک فایل پی‌دی‌اف مسلح‌شده آغاز می‌شود و به‌طور نادرست خود را به‌عنوان یک سند ذخیره‌شده در OneDrive نشان می‌دهد. کاربران را تشویق می کند تا روی دکمه «دسترسی به سند» تعبیه شده در آن کلیک کنند. محققان توزیع این فایل پی‌دی‌اف را از طریق یک حساب کاربری فریبنده فیس‌بوک که خود را به عنوان مدیر عامل آمازون، اندی جاسی نشان می‌دهد و تبلیغات تقلبی فیس‌بوک در تبلیغات تبلیغات دیجیتالی مشخص کرده‌اند.

با کلیک بر روی دکمه، کاربران یک فایل میانبر اینترنتی (URL) را دریافت می کنند که به عنوان یک سند DocuSign که در شبکه تحویل محتوای Discord (CDN) میزبانی شده است، پنهان شده است. این فایل میانبر به عنوان مسیری برای ارائه یک فایل آیتم کنترل پنل (.CPL) عمل می کند، که سپس با استفاده از فرآیند باینری پنل کنترل ویندوز ('control.exe') اجرا می شود.

اجرای فایل CPL بازیابی یک بارگذار PowerShell ('DATA1.txt') را از مخزن GitHub آغاز می کند و در نهایت منجر به راه اندازی Ov3r_Stealer می شود.

شباهت های بین Ov3r_Stealer و سایر تهدیدات بدافزار

محققان امنیت سایبری تاکید می‌کنند که عوامل تهدید از یک زنجیره عفونت تقریباً یکسان برای استقرار سارق دیگری به نام Phedrone Stealer استفاده می‌کنند و از آسیب‌پذیری بای‌پس SmartScreen Microsoft Windows Defender (CVE-2023-36025، امتیاز CVSS: 8.8) سوء استفاده می‌کنند. این شباهت با استفاده از مخزن GitHub (nateeintanan2527) و وجود شباهت‌های سطح کد بین Ov3r_Stealer و Phemedrone گسترش می‌یابد. می توان تصور کرد که فمدرون تحت عنوان Ov3r_Stealer تغییر کاربری داده و نام تجاری خود را تغییر داده است، با تمایز اصلی این که فمدرون در سی شارپ کدگذاری شده است.

برای تقویت پیوند بین این دو بدافزار دزد، مشاهده شده است که عامل تهدید گزارش‌های خبری درباره دزد فمدرون را در کانال‌های تلگرام خود به اشتراک می‌گذارد تا «اعتبار خیابانی» تجارت بدافزار به‌عنوان سرویس (MaaS) خود را افزایش دهد.

یکی از پیام‌های مشاهده شده این است: «دزد سفارشی من در حال تبدیل شدن به تیتر خبرها است و طفره رفتن خود را نشان می‌دهد. من توسعه دهنده پشت آن هستم، در حال حاضر بسیار هیجان زده هستم. بازیگران تهدید از این واقعیت ابراز ناامیدی می‌کنند که علی‌رغم تلاش‌هایشان برای حفظ همه چیز «در حافظه»، شکارچیان تهدید موفق شدند «کل زنجیره بهره‌برداری را معکوس کنند».

چگونه می توانید از حملات فیشینگ که تهدیدات بدافزاری را ایجاد می کنند جلوگیری کنید؟

اجتناب از حملات فیشینگ که تهدیدات بدافزار را ارائه می‌کنند، مستلزم ترکیبی از هوشیاری، آگاهی و اتخاذ بهترین شیوه‌ها برای امنیت آنلاین است. در اینجا چند قدم کلیدی آمده است که کاربران می توانند برای محافظت از خود در برابر حملات فیشینگ انجام دهند:

  • نسبت به ایمیل های ناخواسته شک داشته باشید : از باز کردن ایمیل های ارسال کنندگان ناشناس خودداری کنید.
  • احتیاط کنید حتی اگر به نظر می رسد ایمیل از یک منبع شناخته شده آمده است. اگر شک دارید آدرس ایمیل فرستنده را بررسی کنید.
  • تأیید آدرس‌ها و پیوندها : قبل از کلیک کردن، نشانگر را روی پیوندهای ایمیل نگه دارید تا پیش‌نمایش URL را مشاهده کنید.
  • با مقایسه URL موجود در ایمیل با آدرس وب سایت رسمی، مشروعیت وب سایت را تأیید کنید.
  • بررسی محتوای ایمیل برای Red Flags : به دنبال اشتباهات املایی و دستور زبان باشید که می تواند نشان دهنده تلاش های فیشینگ باشد. مراقب زبان اضطراری یا تهدیدآمیز باشید که شما را برای اقدام فوری تحت فشار قرار می دهد.
  • به روز رسانی و استفاده از نرم افزار امنیتی : سیستم عامل، نرم افزار ضد بدافزار و برنامه های کاربردی خود را به روز نگه دارید. از نرم‌افزارهای امنیتی معتبر برای محافظت در زمان واقعی در برابر بدافزارها استفاده کنید.
  • خود را آماده کنید و مطلع بمانید : از آخرین تاکتیک های فیشینگ و تهدیدات بدافزار مطلع باشید. خود را در مورد شاخص های رایج فیشینگ، مانند احوالپرسی عمومی و درخواست اطلاعات حساس، آموزش دهید.
  • در مورد پیوست ها محتاط باشید : از باز کردن پیوست ها از منابع ناشناخته یا غیرمنتظره خودداری کنید. قبل از دانلود یا باز کردن پیوست ها، مشروعیت فرستنده را تأیید کنید.
  • مراقب تاکتیک‌های مهندسی اجتماعی باشید : مراقب درخواست‌های اطلاعات حساس، به‌ویژه گذرواژه‌ها یا جزئیات مالی باشید. هویت افراد یا سازمان‌هایی را که درخواست‌های غیرمعمول دارند از طریق یک کانال قابل اعتماد تأیید کنید.

با گنجاندن این شیوه‌ها در رفتار آنلاین خود، می‌توانید خطر قربانی شدن در حملات فیشینگ را که تهدیدهای بدافزار را ارائه می‌کنند، به میزان قابل توجهی کاهش دهید. هوشیاری و به روز رسانی مداوم دانش خود در مورد بهترین شیوه های امنیت سایبری در چشم انداز همیشه در حال تحول تهدیدات آنلاین بسیار مهم است.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
32,230
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...