Multi-License Discount Quote
Pangkalan Data Ancaman Malware Ov3r_Stealer Malware

Ov3r_Stealer Malware

Menjelang Mezo pada Malware, Phishing, Stealers
Terjemahkan ke
بهاس ملايو

Aktor ancaman mengeksploitasi iklan pekerjaan palsu di Facebook untuk memperdaya mangsa yang berpotensi untuk memasang perisian hasad baharu berasaskan Windows yang dikenali sebagai Ov3r_Stealer tanpa disedari. Perisian mengancam ini direka khusus untuk mencuri bukti kelayakan dan dompet crypto, memajukan data yang dikumpul ke saluran Telegram yang dipantau oleh pelaku ancaman.

Ov3r_Stealer mempamerkan pelbagai keupayaan, termasuk pengekstrakan lokasi berasaskan alamat IP, maklumat perkakasan, kata laluan, kuki, butiran kad kredit, data isian automatik, sambungan penyemak imbas, dompet crypto, dokumen Microsoft Office dan senarai keselamatan yang dipasang produk pada hos yang terjejas.

Walaupun objektif utama kempen ini masih tidak jelas, maklumat yang diperoleh mungkin ditawarkan untuk dijual kepada pelakon ancaman lain. Sebagai alternatif, Ov3r_Stealer mungkin mengalami kemas kini dari semasa ke semasa, berpotensi berubah menjadi pemuat yang serupa dengan QakBot , memudahkan penggunaan muatan tambahan, seperti perisian tebusan.

Rantaian Serangan Menggunakan Perisian Hasad Ov3r_Stealer

Serangan bermula dengan fail PDF yang dipersenjatai, secara palsu menunjukkan dirinya sebagai dokumen yang disimpan pada OneDrive. Ia menggalakkan pengguna mengklik butang 'Akses Dokumen' yang dibenamkan di dalamnya. Penyelidik telah menentukan pengedaran fail PDF ini melalui akaun Facebook yang menipu yang menyamar sebagai Ketua Pegawai Eksekutif Amazon Andy Jassy dan iklan Facebook penipuan yang mengiklankan kedudukan pengiklanan digital.

Setelah mengklik butang, pengguna menerima fail pintasan Internet (.URL) yang menyamar sebagai dokumen DocuSign yang dihoskan pada rangkaian penghantaran kandungan (CDN) Discord. Fail pintasan ini berfungsi sebagai laluan untuk menghantar fail item panel kawalan (.CPL), yang kemudiannya dilaksanakan menggunakan binari proses Panel Kawalan Windows ('control.exe').

Melaksanakan fail CPL memulakan pengambilan pemuat PowerShell ('DATA1.txt') daripada repositori GitHub, yang akhirnya membawa kepada pelancaran Ov3r_Stealer.

Persamaan Antara Ov3r_Stealer dan Ancaman Hasad Lain

Penyelidik keselamatan siber menyerlahkan bahawa pelaku ancaman menggunakan rantaian jangkitan yang hampir sama untuk menggunakan pencuri lain yang dikenali sebagai Phemedrone Stealer, mengeksploitasi kerentanan pintasan Microsoft Windows Defender SmartScreen (CVE-2023-36025, skor CVSS: 8.8). Persamaan ini semakin meluas, dengan penggunaan repositori GitHub (nateeintanan2527) dan kehadiran persamaan peringkat kod antara Ov3r_Stealer dan Phemedrone. Boleh dibayangkan bahawa Phemedrone telah menjalani penjenamaan semula dan penjenamaan semula sebagai Ov3r_Stealer, dengan perbezaan utama ialah Phemedrone dikodkan dalam C#.

Untuk mengukuhkan hubungan antara kedua-dua perisian hasad pencuri, pelakon ancaman telah diperhatikan berkongsi laporan berita tentang Pencuri Phemedrone di saluran Telegram mereka untuk meningkatkan 'kred kredit jalanan' perniagaan perisian hasad-sebagai-perkhidmatan (MaaS) mereka.

Salah satu mesej yang diperhatikan berbunyi, 'Pencuri tersuai saya membuat tajuk utama, mempamerkan sikap mengelaknya. Saya pemaju di belakangnya, sangat teruja sekarang.' Pelakon ancaman meluahkan kekecewaan terhadap fakta bahawa walaupun mereka berusaha untuk menyimpan segala-galanya 'dalam ingatan,' pemburu ancaman berjaya 'membalikkan keseluruhan rantai eksploitasi.'

Bagaimanakah Anda boleh Mengelakkan Serangan Phishing yang Menyampaikan Ancaman Perisian Hasad?

Mengelakkan serangan pancingan data yang menyampaikan ancaman perisian hasad memerlukan gabungan kewaspadaan, kesedaran dan penggunaan amalan terbaik untuk keselamatan dalam talian. Berikut ialah beberapa langkah penting yang boleh diambil oleh pengguna untuk melindungi diri mereka daripada menjadi mangsa serangan pancingan data:

  • Bersikap Skeptikal terhadap E-mel yang Tidak Diminta : Elakkan membuka e-mel daripada pengirim yang tidak dikenali.
  • Berhati-hati walaupun e-mel itu nampaknya datang daripada sumber yang diketahui; sahkan alamat e-mel pengirim jika ragu-ragu.
  • Sahkan URL dan Pautan : Tuding pada pautan e-mel untuk pratonton URL sebelum mengklik.
  • Sahkan kesahihan tapak web dengan membandingkan URL dalam e-mel dengan alamat tapak web rasmi.
  • Semak Kandungan E-mel untuk Bendera Merah : Cari kesilapan ejaan dan tatabahasa, yang boleh menunjukkan percubaan pancingan data. Berhati-hati dengan bahasa yang mendesak atau mengancam yang menekan anda untuk mengambil tindakan segera.
  • Kemas kini dan Gunakan Perisian Keselamatan : Pastikan sistem pengendalian anda, perisian anti-malware dan aplikasi semasa. Gunakan perisian keselamatan yang bereputasi untuk memberikan perlindungan masa nyata terhadap perisian hasad.
  • Sediakan Diri Anda dan Kekal Maklum : Kekal termaklum tentang taktik pancingan data dan ancaman perisian hasad terkini. Didik diri anda tentang penunjuk pancingan data biasa, seperti salam generik dan permintaan untuk maklumat sensitif.
  • Berhati-hati dengan Lampiran : Elakkan membuka lampiran daripada sumber yang tidak diketahui atau tidak dijangka. Sahkan kesahihan pengirim sebelum memuat turun atau membuka lampiran.
  • Perhatikan Taktik Kejuruteraan Sosial : Berhati-hati dengan permintaan untuk maklumat sensitif, terutamanya kata laluan atau butiran kewangan. Sahkan identiti individu atau organisasi yang membuat permintaan luar biasa melalui saluran yang dipercayai.

Dengan memasukkan amalan ini ke dalam tingkah laku dalam talian anda, anda boleh memendekkan risiko menjadi mangsa serangan pancingan data yang menyampaikan ancaman perisian hasad dengan ketara. Sentiasa berwaspada dan sentiasa mengemas kini pengetahuan anda tentang amalan terbaik keselamatan siber adalah penting dalam landskap ancaman dalam talian yang sentiasa berkembang.


Trending

Paling banyak dilihat

Memuatkan...