Ov3r_Stealer kenkėjiška programa
Grėsmių aktoriai išnaudoja netikrus darbo skelbimus „Facebook“, kad apgautų potencialias aukas ir netyčia įdiegtų naują „Windows“ pagrindu veikiančią kenkėjišką programą, žinomą kaip „Ov3r_Stealer“. Ši grėsminga programinė įranga yra specialiai sukurta taip, kad pavogtų kredencialus ir kriptovaliutų pinigines, persiunčiant surinktus duomenis į telegramos kanalą, kurį stebi grėsmės veikėjas.
„Ov3r_Stealer“ turi daugybę galimybių, įskaitant IP adresu pagrįstos vietos išgavimą, aparatinės įrangos informaciją, slaptažodžius, slapukus, kredito kortelės duomenis, automatinio pildymo duomenis, naršyklės plėtinius, kriptovaliutų pinigines, „Microsoft Office“ dokumentus ir įdiegtų saugos priemonių sąrašą. produktus pažeistame pagrindiniame kompiuteryje.
Nors galutinis šios kampanijos tikslas lieka neaiškus, gauta informacija tikriausiai siūloma parduoti kitiems grėsmės veikėjams. Arba „Ov3r_Stealer“ laikui bėgant gali būti atnaujinamas, galbūt paversdamas įkrovikliu, panašiu į „QakBot“ ir palengvindamas papildomų naudingų apkrovų, pvz., išpirkos reikalaujančių programų, diegimą.
Turinys
Atakų grandinė, diegianti Ov3r_Stealer kenkėjišką programą
Ataka prasideda nuo ginkluoto PDF failo, klaidingai prisistatančio kaip „OneDrive“ saugomą dokumentą. Tai skatina vartotojus spustelėti įterptą mygtuką „Prieiga prie dokumento“. Tyrėjai tiksliai nustatė šio PDF failo platinimą per apgaulingą „Facebook“ paskyrą, kuri prisistatė „Amazon“ generaliniu direktoriumi Andy Jassy, ir apgaulingus „Facebook“ skelbimus, reklamuojančius skaitmeninės reklamos pozicijas.
Spustelėję mygtuką, vartotojai gauna interneto nuorodos (.URL) failą, užmaskuotą kaip DocuSign dokumentas, talpinamas Discord turinio pristatymo tinkle (CDN). Šis sparčiųjų klavišų failas naudojamas kaip būdas pateikti valdymo skydelio elemento (.CPL) failą, kuris vėliau vykdomas naudojant „Windows“ valdymo skydo dvejetainį procesą („control.exe“).
Vykdant CPL failą inicijuojamas PowerShell įkroviklio („DATA1.txt“) nuskaitymas iš „GitHub“ saugyklos, galiausiai paleidžiamas „Ov3r_Stealer“.
„Ov3r_Stealer“ ir kitų kenkėjiškų programų grėsmių panašumai
Kibernetinio saugumo tyrinėtojai pabrėžia, kad grėsmės veikėjai panaudojo beveik identišką užkrėtimo grandinę, kad įdiegtų kitą vagį, žinomą kaip „Phemedrone Stealer“, išnaudodami „Microsoft Windows Defender SmartScreen“ apėjimo pažeidžiamumą (CVE-2023-36025, CVSS balas: 8,8). Panašumas dar labiau išplečiamas naudojant „GitHub“ saugyklą (nateeintanan2527) ir kodo lygmens panašumus tarp „Ov3r_Stealer“ ir „Phemedrone“. Galima įsivaizduoti, kad „Phemedronas“ buvo pakeistas ir pakeistas kaip „Ov3r_Stealer“, o pagrindinis skirtumas yra tas, kad „Phemedronas“ yra užkoduotas C#.
Siekiant sustiprinti ryšius tarp dviejų vagių kenkėjiškų programų, grėsmių veikėjas buvo pastebėtas savo Telegram kanaluose dalijantis naujienų pranešimus apie „Phemedrone Stealer“, kad padidintų savo kenkėjiškų programų kaip paslaugos (MaaS) verslo „gatvės kreditą“.
Vienas iš pastebėtų pranešimų skamba taip: „Mano pasirinktas vagis patenka į antraštes, demonstruodamas savo išsisukinėjimą. Aš esu jos kūrėjas, todėl dabar esu toks sužavėtas. Grėsmių veikėjai išreiškia nusivylimą dėl to, kad nepaisant jų pastangų viską išlaikyti „atmintyje“, grėsmių medžiotojams pavyko „apsukti visą išnaudojimo grandinę“.
Kaip galite išvengti sukčiavimo atakų, kurios kelia kenkėjiškų programų grėsmes?
Norint išvengti sukčiavimo atakų, kurios kelia kenkėjiškų programų grėsmes, reikia budrumo, sąmoningumo ir geriausios internetinės saugos praktikos. Štai keletas pagrindinių žingsnių, kurių vartotojai gali imtis, kad apsisaugotų nuo sukčiavimo atakų:
- Skeptiškai vertinkite nepageidaujamus el. laiškus : venkite atidaryti el. laiškų iš nežinomų siuntėjų.
- Būkite atsargūs, net jei atrodo, kad el. laiškas gautas iš žinomo šaltinio; jei abejojate, patikrinkite siuntėjo el. pašto adresą.
- Patvirtinkite URL ir nuorodas : užveskite pelės žymeklį virš el. pašto nuorodų, kad peržiūrėtumėte URL prieš spustelėdami.
- Patvirtinkite svetainės teisėtumą, palygindami el. laiške esantį URL su oficialios svetainės adresu.
- Patikrinkite el. pašto turinį, ar nėra raudonų vėliavėlių : ieškokite rašybos ir gramatikos klaidų, kurios gali rodyti sukčiavimo bandymus. Būkite atsargūs dėl skubios ar grasinančios kalbos, kuri verčia jus nedelsiant imtis veiksmų.
- Atnaujinkite ir naudokite saugos programinę įrangą : atnaujinkite operacinę sistemą, apsaugos nuo kenkėjiškų programų programinę įrangą ir programas. Naudokite patikimą saugos programinę įrangą, kad užtikrintumėte apsaugą nuo kenkėjiškų programų realiuoju laiku.
- Pasiruoškite ir būkite informuoti : būkite informuoti apie naujausią sukčiavimo taktiką ir kenkėjiškų programų grėsmes. Mokykitės apie įprastus sukčiavimo požymius, pvz., bendrus sveikinimus ir slaptos informacijos užklausas.
- Būkite atsargūs su priedais : Venkite atidaryti priedų iš nežinomų ar netikėtų šaltinių. Prieš atsisiųsdami arba atidarydami priedus, patvirtinkite siuntėjo teisėtumą.
- Stebėkite socialinės inžinerijos taktiką : būkite atsargūs prašydami neskelbtinos informacijos, ypač slaptažodžių ar finansinės informacijos. Patvirtinkite asmenų ar organizacijų, teikiančių neįprastas užklausas per patikimą kanalą, tapatybę.
Įtraukdami šią praktiką į savo elgesį internete, galite žymiai sumažinti riziką tapti sukčiavimo atakų, keliančių kenkėjiškų programų grėsmes, auka. Išlikti budriems ir nuolat atnaujinti žinias apie geriausią kibernetinio saugumo praktiką yra labai svarbu nuolat besikeičiančiame internetinių grėsmių pasaulyje.
