Ov3r_Stealer Malware

A fenyegetőzők kihasználják a hamis álláshirdetéseket a Facebookon, hogy megtévesszék a potenciális áldozatokat, hogy akaratlanul is telepítsenek egy új, Ov3r_Stealer néven ismert Windows-alapú kártevőt. Ezt a fenyegető szoftvert kifejezetten a hitelesítő adatok és a kriptopénztárcák ellopására fejlesztették ki, és az összegyűjtött adatokat a fenyegetés szereplője által felügyelt Telegram-csatornára továbbítják.

Az Ov3r_Stealer funkciók széles skáláját kínálja, beleértve az IP-cím alapú helyadatok kinyerését, a hardverinformációkat, a jelszavakat, a cookie-kat, a hitelkártyaadatokat, az automatikus kitöltési adatokat, a böngészőbővítményeket, a titkosítási pénztárcákat, a Microsoft Office dokumentumokat és a telepített biztonsági eszközök listáját. termékek a feltört gazdagépen.

Bár ennek a kampánynak a végső célja továbbra is tisztázatlan, a megszerzett információkat valószínűleg eladásra kínálják más fenyegetés szereplőinek. Alternatív megoldásként az Ov3r_Stealer idővel frissítéseken eshet át, és potenciálisan a QakBothoz hasonló betöltővé alakulhat át, ami megkönnyíti a további hasznos terhek, például a zsarolóvírusok telepítését.

Az Ov3r_Stealer rosszindulatú programot telepítő támadási lánc

A támadás egy fegyveres PDF-fájllal kezdődik, amely hamisan a OneDrive-on tárolt dokumentumként mutatja be magát. Arra ösztönzi a felhasználókat, hogy kattintsanak a „Hozzáférés a dokumentumhoz” gombra. A kutatók meghatározták ennek a PDF-fájlnak a terjesztését egy megtévesztő Facebook-fiókon keresztül, amely Andy Jassy Amazon-vezérigazgatónak adta ki magát, és hamis Facebook-hirdetéseket hirdet digitális hirdetési pozíciókat.

A gombra kattintva a felhasználók egy internetes parancsikon (.URL) fájlt kapnak, amely a Discord tartalomszolgáltató hálózatán (CDN) található DocuSign-dokumentumnak álcázva. Ez a parancsikonfájl útvonalként szolgál egy vezérlőpult-elemfájl (.CPL) kézbesítéséhez, amely azután a Windows Vezérlőpult folyamatbináris fájljával ("control.exe") fut le.

A CPL-fájl végrehajtása elindítja a PowerShell-betöltő ('DATA1.txt') lekérését egy GitHub-tárolóból, ami végül az Ov3r_Stealer elindításához vezet.

Hasonlóságok az Ov3r_Stealer és az egyéb rosszindulatú programok között

A kiberbiztonsági kutatók kiemelik, hogy a fenyegetések szereplői egy közel azonos fertőzési láncot alkalmaztak egy másik, a Phemedrone Stealer néven ismert lopakodó telepítéséhez, kihasználva a Microsoft Windows Defender SmartScreen bypass sebezhetőségét (CVE-2023-36025, CVSS pontszám: 8,8). A hasonlóság tovább nyúlik a GitHub adattár (nateeintanan2527) felhasználásával, valamint az Ov3r_Stealer és a Phemedrone közötti kódszintű hasonlóságok jelenlétével. Elképzelhető, hogy a Phemedrone átesett az Ov3r_Stealer néven, és az elsődleges különbség az, hogy a Phemedrone C#-ban van kódolva.

A két ellopó rosszindulatú program közötti kapcsolatok megerősítése érdekében megfigyelték, hogy a fenyegetettség szereplője hírjelentéseket osztott meg a Phemedrone Stealerről a Telegram csatornáin, hogy növelje a rosszindulatú szoftverek szolgáltatásként (MaaS) üzletágának „utcai hitelét”.

Az egyik megfigyelt üzenet így hangzik: „Az egyéni tolvajom a címlapokra kerül, bemutatva kitérőségét. Én vagyok a fejlesztő a háttérben, nagyon izgatott vagyok. A fenyegetés szereplői csalódottságukat fejezik ki amiatt, hogy annak ellenére, hogy igyekeztek mindent „emlékezetben” tartani, a fenyegetésvadászoknak sikerült „visszafordítaniuk a teljes kihasználási láncot”.

Hogyan kerülheti el az adathalász támadásokat, amelyek rosszindulatú programokat fenyegetnek?

A rosszindulatú programokat fenyegető adathalász támadások elkerülése éberség, tudatosság és az online biztonság bevált gyakorlatainak átvételét igényli. Íme néhány kulcsfontosságú lépés, amelyet a felhasználók megtehetnek, hogy megvédjék magukat az adathalász támadások áldozatául:

• Legyen szkeptikus a kéretlen e-mailekkel kapcsolatban : Kerülje az ismeretlen feladóktól származó e-mailek megnyitását.
• Legyen óvatos, még akkor is, ha úgy tűnik, hogy az e-mail ismert forrásból származik; ha kétségei vannak, ellenőrizze a feladó e-mail címét.
• URL-ek és linkek ellenőrzése : Mutasson az e-mail linkekre az egérrel az URL előnézetéhez, mielőtt kattintana.
• Ellenőrizze a webhely legitimitását az e-mailben szereplő URL-cím és a hivatalos webhely címének összehasonlításával.
• Ellenőrizze az e-mailek tartalmát, hogy vannak-e vörös zászlók : Keressen helyesírási és nyelvtani hibákat, amelyek adathalász kísérletekre utalhatnak. Legyen óvatos a sürgető vagy fenyegető szavakkal, amelyek azonnali cselekvésre kényszerítenek.
• Biztonsági szoftver frissítése és használata : Tartsa naprakészen operációs rendszerét, kártevőirtó szoftverét és alkalmazásait. Használjon jó hírű biztonsági szoftvert, hogy valós idejű védelmet nyújtson a rosszindulatú programok ellen.
• Készüljön fel és maradjon tájékozott : Legyen tájékozott a legújabb adathalász taktikákkal és rosszindulatú programokkal kapcsolatos fenyegetésekkel kapcsolatban. Tanuljon meg az adathalászat általános mutatóiról, például az általános üdvözlésekről és az érzékeny adatokra vonatkozó kérésekről.
• Legyen óvatos a mellékletekkel : Kerülje az ismeretlen vagy váratlan forrásból származó mellékletek megnyitását. A mellékletek letöltése vagy megnyitása előtt erősítse meg a feladó legitimitását.
• Ügyeljen a társadalmi tervezési taktikákra : Legyen óvatos, ha bizalmas információkat kér, különösen jelszavakat vagy pénzügyi adatokat. Megbízható csatornán keresztül szokatlan kéréseket benyújtó egyének vagy szervezetek személyazonosságának ellenőrzése.

Ha ezeket a gyakorlatokat beépíti online viselkedésébe, jelentősen csökkentheti annak kockázatát, hogy a rosszindulatú programokat fenyegető adathalász támadások áldozatává váljon. Az éberség és a kiberbiztonsági bevált gyakorlatokkal kapcsolatos ismereteinek folyamatos frissítése kulcsfontosságú az online fenyegetések folyamatosan változó környezetben.