Ov3r_Stealer 악성코드

위협 행위자들은 Facebook의 가짜 채용 광고를 악용하여 잠재적인 피해자가 Ov3r_Stealer라는 새로운 Windows 기반 악성 코드를 무의식적으로 설치하도록 속이고 있습니다. 이 위협적인 소프트웨어는 자격 증명과 암호화폐 지갑을 훔쳐 수집된 데이터를 위협 행위자가 모니터링하는 텔레그램 채널로 전달하도록 특별히 제작되었습니다.

Ov3r_Stealer는 IP 주소 기반 위치, 하드웨어 정보, 비밀번호, 쿠키, 신용 카드 정보, 자동 채우기 데이터, 브라우저 확장, 암호화 지갑, Microsoft Office 문서 및 설치된 보안 목록 추출을 포함한 광범위한 기능을 보여줍니다. 손상된 호스트의 제품.

이 캠페인의 궁극적인 목적은 불분명하지만, 획득한 정보는 아마도 다른 위협 행위자에게 판매용으로 제공될 것입니다. 또는 Ov3r_Stealer는 시간이 지남에 따라 업데이트를 거쳐 잠재적으로 QakBot 과 유사한 로더로 변환되어 랜섬웨어와 같은 추가 페이로드 배포를 촉진할 수 있습니다.

Ov3r_Stealer 악성코드를 배포하는 공격 체인

공격은 무기화된 PDF 파일로 시작되어 OneDrive에 저장된 문서로 위장합니다. 사용자가 내부에 포함된 '문서 액세스' 버튼을 클릭하도록 권장합니다. 연구원들은 Amazon CEO Andy Jassy로 가장한 사기성 Facebook 계정과 디지털 광고 위치를 광고하는 사기성 Facebook 광고를 통해 이 PDF 파일이 배포되었음을 정확히 지적했습니다.

버튼을 클릭하면 사용자는 Discord의 콘텐츠 전송 네트워크(CDN)에서 호스팅되는 DocuSign 문서로 위장한 인터넷 바로가기(.URL) 파일을 받게 됩니다. 이 바로가기 파일은 Windows 제어판 프로세스 바이너리('control.exe')를 사용하여 실행되는 제어판 항목(.CPL) 파일을 전달하는 경로 역할을 합니다.

CPL 파일을 실행하면 GitHub 저장소에서 PowerShell 로더('DATA1.txt') 검색이 시작되고 궁극적으로 Ov3r_Stealer가 실행됩니다.

Ov3r_Stealer와 기타 악성코드 위협의 유사점

사이버 보안 연구원들은 위협 행위자들이 Microsoft Windows Defender SmartScreen 우회 취약점(CVE-2023-36025, CVSS 점수: 8.8)을 악용하여 Phemedrone Stealer로 알려진 또 다른 스틸러를 배포하기 위해 거의 동일한 감염 체인을 사용했음을 강조합니다. GitHub 저장소(nateeintanan2527)를 활용하고 Ov3r_Stealer와 Phemedrone 간의 코드 수준 유사성이 존재함으로써 유사성은 더욱 확장됩니다. Phemedrone은 Ov3r_Stealer로 용도 변경 및 브랜드 변경을 거쳤으며, 가장 큰 차이점은 Phemedrone이 C#으로 코딩되었다는 점입니다.

두 스틸러 악성코드 사이의 연관성을 강화하기 위해 위협 행위자는 서비스형 악성코드(MaaS) 비즈니스의 '거리 신뢰'를 강화하기 위해 텔레그램 채널에서 Phemedrone Stealer에 대한 뉴스 보도를 공유하는 것이 관찰되었습니다.

관찰된 메시지 중 하나는 '내 맞춤 스틸러가 회피 능력을 보여주면서 헤드라인을 장식하고 있습니다. 제가 그 뒤에 있는 개발자입니다. 지금은 매우 기쁩니다.' 위협 행위자들은 모든 것을 '메모리에' 유지하려는 노력에도 불구하고 위협 사냥꾼들이 '전체 익스플로잇 체인을 뒤집는' 데 성공했다는 사실에 대해 불만을 표시합니다.

맬웨어 위협을 전달하는 피싱 공격을 어떻게 방지할 수 있습니까?

맬웨어 위협을 전달하는 피싱 공격을 방지하려면 온라인 보안에 대한 경계, 인식 및 모범 사례 채택이 함께 필요합니다. 피싱 공격으로부터 자신을 보호하기 위해 사용자가 취할 수 있는 몇 가지 주요 단계는 다음과 같습니다.

• 원치 않는 이메일을 의심하세요 : 알 수 없는 발신자가 보낸 이메일은 열지 마세요.
• 이메일이 알려진 출처에서 온 것처럼 보이더라도 주의하세요. 의심스러운 경우 보낸 사람의 이메일 주소를 확인하세요.
• URL 및 링크 확인 : 이메일 링크 위로 마우스를 가져가면 클릭하기 전에 URL을 미리 볼 수 있습니다.
• 이메일의 URL과 공식 웹사이트 주소를 비교하여 웹사이트의 적법성을 확인하세요.
• 이메일 콘텐츠에 위험 신호가 있는지 확인하세요 . 피싱 시도를 나타낼 수 있는 철자 및 문법 오류가 있는지 확인하세요. 즉각적인 조치를 취하도록 압력을 가하는 긴급하거나 위협적인 언어를 조심하세요.
• 보안 소프트웨어 업데이트 및 사용 : 운영 체제, 맬웨어 방지 소프트웨어 및 애플리케이션을 최신 상태로 유지하십시오. 평판이 좋은 보안 소프트웨어를 사용하여 맬웨어로부터 실시간 보호를 제공하세요.
• 스스로 준비하고 최신 정보를 얻으세요 : 최신 피싱 전술과 맬웨어 위협에 대한 최신 정보를 얻으세요. 일반적인 인사말, 민감한 정보 요청 등 일반적인 피싱 지표에 대해 알아보세요.
• 첨부 파일에 주의하세요 : 알 수 없거나 예상치 못한 출처에서 온 첨부 파일을 열지 마십시오. 첨부 파일을 다운로드하거나 열기 전에 보낸 사람의 적법성을 확인하세요.
• 사회공학 전술 주의 : 민감한 정보, 특히 비밀번호나 금융 세부정보에 대한 요청에 주의하세요. 신뢰할 수 있는 채널을 통해 비정상적인 요청을 하는 개인이나 조직의 신원을 확인하세요.

이러한 관행을 온라인 행동에 통합함으로써 맬웨어 위협을 전달하는 피싱 공격의 피해자가 될 위험을 크게 줄일 수 있습니다. 끊임없이 진화하는 온라인 위협 환경에서는 경계를 늦추지 않고 사이버 보안 모범 사례에 대한 지식을 지속적으로 업데이트하는 것이 중요합니다.