Ov3r_Stealer ļaunprātīga programmatūra

Draudu dalībnieki izmanto fiktīvus darba sludinājumus Facebook, lai maldinātu potenciālos upurus, lai tie neapzināti instalētu jaunu Windows ļaunprātīgu programmatūru, kas pazīstama kā Ov3r_Stealer. Šī draudīgā programmatūra ir īpaši izstrādāta, lai zagtu akreditācijas datus un kriptovalūtas, pārsūtot savāktos datus uz telegrammas kanālu, kuru uzrauga draudu dalībnieks.

Ov3r_Stealer piedāvā plašu iespēju klāstu, tostarp uz IP adreses balstītas atrašanās vietas, aparatūras informācijas, paroļu, sīkfailu, kredītkaršu informācijas, automātiskās aizpildes datu, pārlūkprogrammas paplašinājumu, šifrēšanas maku, Microsoft Office dokumentu un instalētās drošības saraksta izgūšanu. produktus apdraudētajā saimniekdatorā.

Lai gan šīs kampaņas galīgais mērķis joprojām nav skaidrs, iegūtā informācija, iespējams, tiek piedāvāta pārdošanai citiem apdraudējuma dalībniekiem. Alternatīvi, Ov3r_Stealer laika gaitā var tikt atjaunināts, iespējams, pārveidots par QakBot līdzīgu ielādētāju, atvieglojot papildu lietderīgās slodzes, piemēram, izpirkuma programmatūras, izvietošanu.

Uzbrukuma ķēde, kas izvieto ļaunprātīgu programmatūru Ov3r_Stealer

Uzbrukums sākas ar bruņotu PDF failu, maldīgi uzrādot sevi kā OneDrive glabātu dokumentu. Tas mudina lietotājus noklikšķināt uz pogas "Piekļuve dokumentam", kas ir iegulta. Pētnieki ir noskaidrojuši šī PDF faila izplatīšanu, izmantojot maldinošu Facebook kontu, kas uzdodas par Amazon izpilddirektoru Endiju Džeisiju, un krāpnieciskas Facebook reklāmas, kas reklamē digitālās reklāmas pozīcijas.

Noklikšķinot uz pogas, lietotāji saņem interneta saīsnes (.URL) failu, kas ir slēpts kā DocuSign dokuments, kas tiek mitināts Discord satura piegādes tīklā (CDN). Šis saīsnes fails kalpo kā ceļš, lai piegādātu vadības paneļa vienuma (.CPL) failu, kas pēc tam tiek izpildīts, izmantojot Windows vadības paneļa procesa bināro failu (“control.exe”).

Izpildot CPL failu, tiek sākta PowerShell ielādētāja (“DATA1.txt”) izgūšana no GitHub repozitorija, kas galu galā noved pie Ov3r_Stealer palaišanas.

Līdzības starp Ov3r_Stealer un citiem ļaunprātīgas programmatūras draudiem

Kiberdrošības pētnieki uzsver, ka apdraudējuma dalībnieki izmantoja gandrīz identisku infekcijas ķēdi, lai izvietotu citu zagļu, kas pazīstams kā Phemedrone Stealer, izmantojot Microsoft Windows Defender SmartScreen apiešanas ievainojamību (CVE-2023-36025, CVSS punkts: 8,8). Līdzība ir vēl lielāka, izmantojot GitHub repozitoriju (nateeintanan2527) un koda līmeņa līdzības starp Ov3r_Stealer un Phemedrone. Iespējams, ka Phemedrone ir mainīts un pārveidots par Ov3r_Stealer zīmolu, un galvenā atšķirība ir tāda, ka Phemedrone ir kodēts C#.

Lai pastiprinātu saikni starp abām zagļu ļaunprātīgām programmām, ir novērots, ka draudu aktieris savos Telegram kanālos dalās ar ziņu ziņojumiem par Phemedrone Stealer, lai uzlabotu sava ļaunprātīgas programmatūras kā pakalpojuma (MaaS) biznesa "ielu uzticamību".

Viens no novērotajiem ziņojumiem skan šādi: “Mans pielāgotais zaglis nonāk virsrakstos, demonstrējot savu izvairību. Es esmu tā izstrādātājs, un šobrīd esmu tik sajūsmā. Draudu dalībnieki pauž neapmierinātību par to, ka, neskatoties uz viņu centieniem visu paturēt "atmiņā", draudu medniekiem izdevās "apgriezt visu izmantošanas ķēdi".

Kā jūs varat izvairīties no pikšķerēšanas uzbrukumiem, kas rada ļaunprātīgas programmatūras draudus?

Lai izvairītos no pikšķerēšanas uzbrukumiem, kas rada ļaunprātīgas programmatūras draudus, ir jāapvieno modrība, informētība un tiešsaistes drošības paraugprakse. Tālāk ir norādītas dažas galvenās darbības, ko lietotāji var veikt, lai pasargātu sevi no pikšķerēšanas uzbrukumu upuriem.

• Esiet skeptisks pret nevēlamiem e-pastiem : neatveriet e-pastus no nezināmiem sūtītājiem.
• Esiet piesardzīgs pat tad, ja šķiet, ka e-pasts nāk no zināma avota; šaubu gadījumā pārbaudiet sūtītāja e-pasta adresi.
• URL un saišu pārbaude : virziet kursoru virs e-pasta saitēm, lai pirms noklikšķināšanas priekšskatītu URL.
• Pārbaudiet vietnes leģitimitāti, salīdzinot URL e-pastā ar oficiālās vietnes adresi.
• Pārbaudiet, vai e-pasta saturā nav sarkano karogu : meklējiet pareizrakstības un gramatikas kļūdas, kas var norādīt uz pikšķerēšanas mēģinājumiem. Esiet piesardzīgs no steidzamas vai draudošas valodas, kas liek jums nekavējoties rīkoties.
• Drošības programmatūras atjaunināšana un izmantošana : Atjauniniet savu operētājsistēmu, ļaunprātīgas programmatūras novēršanas programmatūru un lietojumprogrammas. Izmantojiet cienījamu drošības programmatūru, lai nodrošinātu reāllaika aizsardzību pret ļaunprātīgu programmatūru.
• Sagatavojieties un esiet informēts : esiet informēts par jaunāko pikšķerēšanas taktiku un ļaunprātīgas programmatūras draudiem. Izglītojieties par izplatītākajiem pikšķerēšanas rādītājiem, piemēram, vispārīgiem sveicieniem un sensitīvas informācijas pieprasījumiem.
• Esiet piesardzīgs ar pielikumiem : izvairieties atvērt pielikumus no nezināmiem vai negaidītiem avotiem. Pirms pielikumu lejupielādes vai atvēršanas pārbaudiet sūtītāja likumību.
• Pievērsiet uzmanību sociālās inženierijas taktikai : esiet piesardzīgs, pieprasot sensitīvu informāciju, īpaši paroles vai finanšu informāciju. Verificējiet to personu vai organizāciju identitāti, kuras iesniedz neparastus pieprasījumus, izmantojot uzticamu kanālu.

Iekļaujot šo praksi savā tiešsaistes darbībā, jūs varat ievērojami samazināt risku kļūt par upuri pikšķerēšanas uzbrukumiem, kas rada ļaunprātīgas programmatūras draudus. Saglabāt modrību un nepārtraukti atjaunināt savas zināšanas par kiberdrošības paraugpraksi ir ļoti svarīgi nepārtraukti mainīgajā tiešsaistes draudu vidē.