Ov3r_Stealer-haittaohjelma

Uhkatoimijat käyttävät hyväkseen vääriä työpaikkailmoituksia Facebookissa huijatakseen mahdollisia uhreja asentamaan tahattomasti uuden Windows-pohjaisen haittaohjelman, joka tunnetaan nimellä Ov3r_Stealer. Tämä uhkaava ohjelmisto on erityisesti suunniteltu varastamaan valtuustietoja ja kryptolompakoita ja välittämään kerätyt tiedot Telegram-kanavalle, jota uhkatoimija valvoo.

Ov3r_Stealer tarjoaa laajan valikoiman ominaisuuksia, mukaan lukien IP-osoitteeseen perustuvan sijainnin, laitteistotietojen, salasanojen, evästeiden, luottokorttitietojen, automaattisen täytön tietojen, selainlaajennusten, salauslompakoiden, Microsoft Office -asiakirjojen ja luettelon asennetuista suojauksista poimiminen. tuotteet vaarantuneella isännällä.

Vaikka tämän kampanjan perimmäinen tavoite on epäselvä, saatua tietoa todennäköisesti tarjotaan myytäväksi muille uhkatoimijoille. Vaihtoehtoisesti Ov3r_Stealer voidaan päivittää ajan myötä, jolloin se mahdollisesti muuttuu QakBotin kaltaiseksi lataajaksi, mikä helpottaa lisähyötykuormien, kuten kiristysohjelmien, käyttöönottoa.

Hyökkäysketju, joka ottaa käyttöön Ov3r_Stealer-haittaohjelman

Hyökkäys alkaa aseistetulla PDF-tiedostolla, joka esittää itsensä virheellisesti OneDriveen tallennettuna asiakirjana. Se rohkaisee käyttäjiä napsauttamaan sisään upotettua Access Document -painiketta. Tutkijat ovat havainneet tämän PDF-tiedoston leviämisen petollisen Facebook-tilin kautta, joka esiintyy Amazonin toimitusjohtajana Andy Jassynä, ja vilpillisten Facebook-mainosten kautta, jotka mainostavat digitaalisia mainoksia.

Napsauttamalla painiketta käyttäjät saavat Internet-pikakuvaketiedoston (.URL), joka on naamioitu Discordin sisällönjakeluverkossa (CDN) isännöidyksi DocuSign-asiakirjaksi. Tämä pikakuvaketiedosto toimii reittinä ohjauspaneelin kohdetiedoston (.CPL) toimittamiseen, joka sitten suoritetaan Windowsin Ohjauspaneelin prosessibinaarilla ("control.exe").

CPL-tiedoston suorittaminen käynnistää PowerShell-lataimen ('DATA1.txt') haun GitHub-tietovarastosta, mikä lopulta johtaa Ov3r_Stealer-tiedoston käynnistämiseen.

Ov3r_Stealerin ja muiden haittaohjelmauhkien väliset yhtäläisyydet

Kyberturvallisuustutkijat korostavat, että uhkatoimijat käyttivät lähes identtistä tartuntaketjua ottaakseen käyttöön toisen varastajan, joka tunnetaan nimellä Phemedrone Stealer, hyödyntäen Microsoft Windows Defender SmartScreen -ohitushaavoittuvuutta (CVE-2023-36025, CVSS-pistemäärä: 8,8). Samankaltaisuus laajenee entisestään GitHub-arkiston (nateeintanan2527) käytön ja Ov3r_Stealerin ja Phemedronen välisten kooditason yhtäläisyyksien kanssa. On ajateltavissa, että Phemedronen käyttötarkoitus ja tuotemerkki on muutettu Ov3r_Stealeriksi, ja ensisijainen ero on, että Phemedrone on koodattu C#:lla.

Vahvistaakseen yhteyksiä kahden varastajan haittaohjelman välillä uhkatoimijan on havaittu jakavan uutisia Phemedrone Stealer -ohjelmasta Telegram-kanavillaan parantaakseen haittaohjelmien palveluna (MaaS) -liiketoimintansa "katutunnusta".

Yksi havaitsemista viesteistä kuuluu seuraavasti: "Muokattu varastajani tekee otsikoita, jotka esittelevät välttelemistään. Olen kehittäjä sen takana, niin innoissani juuri nyt. Uhkatoimijat ilmaisevat turhautumistaan siitä, että huolimatta heidän yrityksistään pitää kaikki "muistossa", uhkien metsästäjät onnistuivat "kääntämään koko hyväksikäyttöketjun päinvastaiseksi".

Kuinka voit välttää tietokalasteluhyökkäyksiä, jotka aiheuttavat haittaohjelmia?

Haittaohjelmauhkia aiheuttavien tietojenkalasteluhyökkäysten välttäminen edellyttää valppautta, tietoisuutta ja verkkoturvallisuuden parhaiden käytäntöjen omaksumista. Tässä on joitain keskeisiä vaiheita, joita käyttäjät voivat tehdä suojatakseen itsensä tietojenkalasteluhyökkäysten uhriksi:

• Suhtaudu epäilevästi ei-toivottuihin sähköposteihin : Vältä avaamasta tuntemattomilta lähettäjiltä tulevia sähköposteja.
• Ole varovainen, vaikka sähköposti näyttäisi tulevan tunnetusta lähteestä. tarkista lähettäjän sähköpostiosoite, jos olet epävarma.
• Vahvista URL-osoitteet ja linkit : Vie hiiri sähköpostilinkkien päälle esikatsellaksesi URL-osoitetta ennen kuin napsautat.
• Tarkista verkkosivuston laillisuus vertaamalla sähköpostissa olevaa URL-osoitetta virallisen verkkosivuston osoitteeseen.
• Tarkista sähköpostin sisältö punaisten lippujen varalta : Etsi kirjoitus- ja kielioppivirheitä, jotka voivat viitata tietojenkalasteluyritykseen. Varo kiireellistä tai uhkaavaa kieltä, joka painostaa sinua ryhtymään välittömiin toimiin.
• Päivitä ja käytä suojausohjelmistoa : Pidä käyttöjärjestelmäsi, haittaohjelmien torjuntaohjelmistosi ja sovelluksesi ajan tasalla. Käytä hyvämaineisia tietoturvaohjelmistoja tarjotaksesi reaaliaikaista suojausta haittaohjelmia vastaan.
• Valmistaudu ja pysy ajan tasalla : Pysy ajan tasalla uusimmista tietojenkalastelutaktiikoista ja haittaohjelmauhkista. Tutustu yleisiin tietojenkalasteluindikaattoreihin, kuten yleisiin tervehdyksiin ja arkaluontoisten tietojen pyyntöihin.
• Ole varovainen liitteiden kanssa : Vältä tuntemattomista tai odottamattomista lähteistä peräisin olevien liitteiden avaamista. Varmista lähettäjän laillisuus ennen liitteiden lataamista tai avaamista.
• Tarkkaile sosiaalisen suunnittelun taktiikoita : Ole varovainen arkaluontoisten tietojen, erityisesti salasanojen tai taloudellisten tietojen, pyynnöissä. Vahvista sellaisten henkilöiden tai organisaatioiden henkilöllisyys, jotka tekevät epätavallisia pyyntöjä luotettavan kanavan kautta.

Kun sisällytät nämä käytännöt online-käyttäytymiseen, voit lyhentää huomattavasti riskiä joutua haittaohjelmauhkia välittävien tietojenkalasteluhyökkäysten uhriksi. Pysy valppaana ja päivitä jatkuvasti tietosi kyberturvallisuuden parhaista käytännöistä on ratkaisevan tärkeää jatkuvasti kehittyvässä verkkouhkien ympäristössä.