Multi-License Discount Quote
Baza prijetnji Malware Zlonamjerni softver Ov3r_Stealer

Zlonamjerni softver Ov3r_Stealer

Do Mezo. Malware, Phishing, Stealers. godine
Prevedi na:
Hrvatski

Akteri prijetnji iskorištavaju lažne oglase za posao na Facebooku kako bi prevarili potencijalne žrtve da nesvjesno instaliraju novi malware temeljen na Windowsima poznat kao Ov3r_Stealer. Ovaj prijeteći softver posebno je izrađen za krađu vjerodajnica i kripto novčanika, prosljeđujući prikupljene podatke na Telegram kanal koji nadzire akter prijetnje.

Ov3r_Stealer pokazuje širok raspon mogućnosti, uključujući ekstrakciju lokacije temeljene na IP adresi, informacije o hardveru, lozinke, kolačiće, podatke o kreditnoj kartici, podatke za automatsko popunjavanje, proširenja preglednika, kripto novčanike, Microsoft Office dokumente i popis instaliranih sigurnosnih proizvoda na kompromitiranom hostu.

Iako krajnji cilj ove kampanje ostaje nejasan, dobivene informacije vjerojatno se nude na prodaju drugim akterima prijetnji. Alternativno, Ov3r_Stealer može biti podvrgnut ažuriranjima tijekom vremena, potencijalno transformirajući se u učitavač sličan QakBotu , olakšavajući implementaciju dodatnih korisnih opterećenja, kao što je ransomware.

Lanac napada koji koristi zlonamjerni softver Ov3r_Stealer

Napad počinje PDF datotekom koja se koristi oružjem, lažno se predstavlja kao dokument pohranjen na OneDriveu. Potiče korisnike da kliknu gumb "Pristup dokumentu" ugrađen unutar njega. Istraživači su točno odredili distribuciju ove PDF datoteke putem lažnog Facebook računa koji se predstavlja kao izvršni direktor Amazona Andy Jassy i lažnih Facebook oglasa koji reklamiraju pozicije za digitalno oglašavanje.

Nakon klika na gumb, korisnici dobivaju datoteku internetskog prečaca (.URL) maskiranu kao DocuSign dokument smješten na Discordovoj mreži za isporuku sadržaja (CDN). Ova datoteka prečaca služi kao put za isporuku datoteke stavke upravljačke ploče (.CPL), koja se zatim izvršava pomoću binarnog procesa upravljačke ploče sustava Windows ('control.exe').

Izvršenje CPL datoteke inicira dohvaćanje PowerShell loadera ('DATA1.txt') iz GitHub repozitorija, što u konačnici dovodi do pokretanja Ov3r_Stealera.

Sličnosti između Ov3r_Stealer i drugih prijetnji zlonamjernim softverom

Istraživači kibernetičke sigurnosti naglašavaju da su akteri prijetnji upotrijebili gotovo identičan lanac zaraze kako bi postavili još jedan kradljivac poznat kao Phemedrone Stealer, iskorištavajući ranjivost premosnice Microsoft Windows Defender SmartScreen (CVE-2023-36025, CVSS ocjena: 8,8). Sličnost se proteže dalje, korištenjem GitHub repozitorija (nateeintanan2527) i prisutnošću sličnosti na razini koda između Ov3r_Stealer i Phemedrone. Moguće je da je Phemedrone prošao kroz prenamjenu i rebranding kao Ov3r_Stealer, s osnovnom razlikom što je Phemedrone kodiran u C#.

Kako bi se ojačale veze između dva zlonamjerna softvera kradljivaca, akter prijetnje je primijećen kako dijeli vijesti o Phemedrone Stealer-u na svojim Telegram kanalima kako bi poboljšao 'ulično vjerodostojnost' svog poslovanja zlonamjernog softvera kao usluge (MaaS).

Jedna od promatranih poruka glasi: 'Moj custom stealer dospijeva na naslovnice, pokazujući svoju izbjegavanje. Ja sam programer koji stoji iza toga, tako sam sada oduševljen.' Akteri prijetnji izražavaju frustraciju zbog činjenice da su, unatoč njihovim naporima da sve zadrže 'u sjećanju', lovci na prijetnje uspjeli 'preokrenuti cijeli lanac iskorištavanja'.

Kako možete izbjeći phishing napade koji donose prijetnje zlonamjernim softverom?

Izbjegavanje phishing napada koji isporučuju prijetnje zlonamjernim softverom zahtijeva kombinaciju opreza, svijesti i usvajanja najboljih praksi za sigurnost na mreži. Evo nekih ključnih koraka koje korisnici mogu poduzeti kako bi se zaštitili od napada krađe identiteta:

  • Budite skeptični prema neželjenoj e-pošti : Izbjegavajte otvaranje e-pošte od nepoznatih pošiljatelja.
  • Budite oprezni čak i ako se čini da e-pošta dolazi iz poznatog izvora; provjerite adresu e-pošte pošiljatelja ako ste u nedoumici.
  • Provjerite URL-ove i veze : Zadržite pokazivač miša iznad veza e-pošte da biste pregledali URL prije klika.
  • Provjerite legitimnost web stranice usporedbom URL-a u e-poruci s adresom službene web stranice.
  • Provjerite sadržaj e-pošte za crvene zastavice : potražite pravopisne i gramatičke pogreške koje mogu ukazivati na pokušaje krađe identiteta. Budite oprezni s hitnim ili prijetećim jezikom koji vas prisiljava da poduzmete hitnu akciju.
  • Ažurirajte i koristite sigurnosni softver : Održavajte svoj operativni sustav, anti-malware softver i aplikacije ažuriranima. Koristite renomirani sigurnosni softver za pružanje zaštite od zlonamjernog softvera u stvarnom vremenu.
  • Pripremite se i ostanite informirani : Budite informirani o najnovijim taktikama krađe identiteta i prijetnjama zlonamjernim softverom. Obrazujte se o uobičajenim pokazateljima krađe identiteta, kao što su generički pozdravi i zahtjevi za osjetljivim informacijama.
  • Budite oprezni s prilozima : Izbjegavajte otvaranje privitaka iz nepoznatih ili neočekivanih izvora. Potvrdite legitimitet pošiljatelja prije preuzimanja ili otvaranja privitaka.
  • Pripazite na taktike društvenog inženjeringa : Budite oprezni sa zahtjevima za osjetljive podatke, posebno lozinke ili financijske detalje. Provjerite identitet pojedinaca ili organizacija koje šalju neobične zahtjeve putem pouzdanog kanala.

Uključivanjem ovih praksi u svoje online ponašanje, možete značajno skratiti rizik da postanete žrtva phishing napada koji isporučuju prijetnje zlonamjernim softverom. Održavanje opreza i kontinuirano ažuriranje znanja o najboljim primjerima iz prakse kibernetičke sigurnosti ključni su u krajoliku mrežnih prijetnji koji se stalno razvija.


U trendu

Nagledanije

Učitavam...