Multi-License Discount Quote
Trusseldatabase Malware Ov3r_Stealer skadelig programvare

Ov3r_Stealer skadelig programvare

Med Mezo i Malware, Phishing, Stealers
Oversett til:
Norsk

Trusselaktører utnytter falske stillingsannonser på Facebook for å lure potensielle ofre til uforvarende å installere en ny Windows-basert skadelig programvare kjent som Ov3r_Stealer. Denne truende programvaren er spesielt laget for å stjele legitimasjon og kryptolommebøker, og videresende de innsamlede dataene til en Telegram-kanal som overvåkes av trusselaktøren.

Ov3r_Stealer viser et bredt spekter av funksjoner, inkludert utvinning av IP-adressebasert plassering, maskinvareinformasjon, passord, informasjonskapsler, kredittkortdetaljer, automatisk utfyllingsdata, nettleserutvidelser, kryptolommebøker, Microsoft Office-dokumenter og en liste over installert sikkerhet produkter på den kompromitterte verten.

Selv om det endelige målet med denne kampanjen fortsatt er uklart, blir den innhentede informasjonen sannsynligvis tilbudt for salg til andre trusselaktører. Alternativt kan Ov3r_Stealer gjennomgå oppdateringer over tid, og potensielt forvandles til en laster som ligner på QakBot , noe som letter distribusjonen av ytterligere nyttelaster, for eksempel løsepengeprogramvare.

Angrepskjeden som distribuerer Ov3r_Stealer-malware

Angrepet begynner med en våpenbeskyttet PDF-fil, som feilaktig presenterer seg selv som et dokument lagret på OneDrive. Den oppfordrer brukere til å klikke på en "Få tilgang til dokument"-knapp innebygd i. Forskere har funnet distribusjonen av denne PDF-filen gjennom en villedende Facebook-konto som utgir seg for å være Amazon-sjef Andy Jassy og falske Facebook-annonser som annonserer digitale reklamestillinger.

Ved å klikke på knappen, mottar brukere en internettsnarvei (.URL)-fil forkledd som et DocuSign-dokument som ligger på Discords innholdsleveringsnettverk (CDN). Denne snarveisfilen fungerer som en vei for å levere en kontrollpanelelement-fil (.CPL), som deretter kjøres ved hjelp av Windows Kontrollpanel-prosessbinære ('control.exe').

Kjøring av CPL-filen starter henting av en PowerShell-laster ('DATA1.txt') fra et GitHub-depot, noe som til slutt fører til lanseringen av Ov3r_Stealer.

Likheter mellom Ov3r_Stealer og andre trusler mot skadelig programvare

Cybersikkerhetsforskere fremhever at trusselaktører brukte en nesten identisk infeksjonskjede for å distribuere en annen stjeler kjent som Phemedrone Stealer, og utnyttet Microsoft Windows Defender SmartScreen-bypass-sårbarheten (CVE-2023-36025, CVSS-score: 8,8). Likheten strekker seg videre, med bruken av GitHub-depotet (nateeintanan2527) og tilstedeværelsen av likheter på kodenivå mellom Ov3r_Stealer og Phemedrone. Det kan tenkes at Phemedrone har gjennomgått omformål og rebranding som Ov3r_Stealer, med den primære forskjellen at Phemedrone er kodet i C#.

For å forsterke koblingene mellom de to stjelerne, har trusselaktøren blitt observert dele nyhetsrapporter om Phemedrone Stealer på sine Telegram-kanaler for å forbedre "street cred" til deres malware-as-a-service (MaaS)-virksomhet.

En av meldingene som ble observert lyder: 'Min tilpassede stjeler skaper overskrifter, og viser at den er unnvikende. Jeg er utvikleren bak det, så begeistret akkurat nå.' Trusselaktørene uttrykker frustrasjon over det faktum at til tross for deres anstrengelser for å holde alt «i minne», klarte trusseljegere å «reversere hele utnyttelseskjeden».

Hvordan kan du unngå phishing-angrep som gir trusler om skadelig programvare?

Å unngå phishing-angrep som leverer trusler mot skadelig programvare krever en kombinasjon av årvåkenhet, bevissthet og bruk av beste praksis for nettsikkerhet. Her er noen viktige skritt brukere kan ta for å beskytte seg mot å bli ofre for phishing-angrep:

  • Vær skeptisk til uønskede e-poster : Unngå å åpne e-poster fra ukjente avsendere.
  • Vær forsiktig selv om e-posten ser ut til å komme fra en kjent kilde; bekrefte avsenderens e-postadresse hvis du er i tvil.
  • Bekreft URL-er og koblinger : Hold markøren over e-postkoblinger for å forhåndsvise URL-en før du klikker.
  • Bekreft nettstedets legitimitet ved å sammenligne URL-en i e-posten med den offisielle nettsidens adresse.
  • Sjekk e-postinnhold for røde flagg : Se etter stave- og grammatikkfeil, som kan indikere phishing-forsøk. Vær forsiktig med presserende eller truende språk som presser deg til å iverksette tiltak umiddelbart.
  • Oppdater og bruk sikkerhetsprogramvare : Hold operativsystemet, anti-malware-programvaren og applikasjonene oppdatert. Bruk anerkjent sikkerhetsprogramvare for å gi sanntidsbeskyttelse mot skadelig programvare.
  • Forbered deg og hold deg informert : Hold deg informert om de siste phishing-taktikkene og truslene mot skadelig programvare. Lær deg selv om vanlige phishing-indikatorer, for eksempel generiske hilsener og forespørsler om sensitiv informasjon.
  • Vær forsiktig med vedlegg : Unngå å åpne vedlegg fra ukjente eller uventede kilder. Bekreft legitimiteten til avsenderen før du laster ned eller åpner vedlegg.
  • Se etter sosial ingeniørtaktikk : Vær forsiktig med forespørsler om sensitiv informasjon, spesielt passord eller økonomiske detaljer. Bekreft identiteten til enkeltpersoner eller organisasjoner som sender uvanlige forespørsler gjennom en klarert kanal.

Ved å inkorporere denne praksisen i din online atferd, kan du redusere risikoen for å bli offer for phishing-angrep som gir skadelig programvare trusler betydelig. Å være på vakt og kontinuerlig oppdatere kunnskapen din om beste praksis for cybersikkerhet er avgjørende i det stadig utviklende landskapet av trusler på nettet.


Trender

Mest sett

Laster inn...