Złośliwe oprogramowanie Ov3r_Stealer

Podmioty zagrażające wykorzystują fałszywe ogłoszenia o pracę na Facebooku, aby oszukać potencjalne ofiary i zmusić je do nieświadomego zainstalowania nowego szkodliwego oprogramowania dla systemu Windows znanego jako Ov3r_Stealer. To groźne oprogramowanie zostało specjalnie stworzone do kradzieży danych uwierzytelniających i portfeli kryptowalutowych, a następnie przesyłania zebranych danych do kanału Telegramu monitorowanego przez osobę zagrażającą.

Ov3r_Stealer wykazuje szeroki zakres możliwości, w tym ekstrakcję lokalizacji na podstawie adresu IP, informacji o sprzęcie, haseł, plików cookie, danych karty kredytowej, danych automatycznego uzupełniania, rozszerzeń przeglądarki, portfeli kryptograficznych, dokumentów Microsoft Office i listy zainstalowanych zabezpieczeń produkty na zaatakowanym hoście.

Chociaż ostateczny cel tej kampanii pozostaje niejasny, uzyskane informacje prawdopodobnie są oferowane do sprzedaży innym podmiotom zagrażającym. Alternatywnie Ov3r_Stealer może z czasem podlegać aktualizacjom, potencjalnie przekształcając się w moduł ładujący podobny do QakBot , ułatwiając wdrażanie dodatkowych ładunków, takich jak oprogramowanie ransomware.

Łańcuch ataków wdrażający złośliwe oprogramowanie Ov3r_Stealer

Atak rozpoczyna się od uzbrojonego pliku PDF, fałszywie przedstawiającego się jako dokument przechowywany w OneDrive. Zachęca użytkowników do kliknięcia umieszczonego w nim przycisku „Dostęp do dokumentu”. Badacze wskazali dystrybucję tego pliku PDF za pośrednictwem zwodniczego konta na Facebooku podszywającego się pod dyrektora generalnego Amazona, Andy’ego Jassy’ego, oraz fałszywych reklam na Facebooku reklamujących cyfrowe stanowiska reklamowe.

Po kliknięciu przycisku użytkownicy otrzymują plik skrótu internetowego (.URL) udający dokument DocuSign hostowany w sieci dostarczania treści (CDN) firmy Discord. Ten plik skrótu służy jako ścieżka dostarczenia pliku elementu panelu sterowania (.CPL), który jest następnie wykonywany przy użyciu pliku binarnego procesu Panelu sterowania systemu Windows („control.exe”).

Wykonanie pliku CPL inicjuje pobranie modułu ładującego PowerShell („DATA1.txt”) z repozytorium GitHub, co ostatecznie prowadzi do uruchomienia Ov3r_Stealer.

Podobieństwa między Ov3r_Stealer a innymi zagrożeniami złośliwym oprogramowaniem

Badacze cyberbezpieczeństwa podkreślają, że cyberprzestępcy wykorzystali niemal identyczny łańcuch infekcji, aby wdrożyć innego złodzieja znanego jako Phemedrone Stealer, wykorzystującego lukę w zabezpieczeniach Microsoft Windows Defender SmartScreen (CVE-2023-36025, wynik CVSS: 8,8). Podobieństwo sięga dalej, wraz z wykorzystaniem repozytorium GitHub (nateeintanan2527) i obecnością podobieństw na poziomie kodu między Ov3r_Stealer i Phemedrone. Można sobie wyobrazić, że Phemedrone przeszedł zmianę przeznaczenia i nazwę na Ov3r_Stealer, przy czym podstawową różnicą jest to, że Phemedrone jest kodowany w języku C#.

Aby wzmocnić powiązania między tymi dwoma złodziejami szkodliwego oprogramowania, zaobserwowano, że ugrupowanie zagrażające udostępnia na swoich kanałach Telegram doniesienia prasowe na temat złodzieja Phemedronu, aby zwiększyć „uliczny autorytet” swojej firmy oferującej złośliwe oprogramowanie jako usługę (MaaS).

Jedna z zaobserwowanych wiadomości brzmi: „Mój złodziej niestandardowych przedmiotów trafia na pierwsze strony gazet, pokazując swoje unikanie. To ja jestem jego twórcą i jestem teraz bardzo podekscytowany. Podmioty zagrażające wyrażają frustrację z powodu faktu, że pomimo wysiłków, aby zachować wszystko „w pamięci”, łowcom zagrożeń udało się „odwrócić cały łańcuch exploitów”.

Jak uniknąć ataków phishingowych generujących zagrożenia złośliwym oprogramowaniem?

Unikanie ataków typu phishing, które dostarczają zagrożenia złośliwym oprogramowaniem, wymaga połączenia czujności, świadomości i przyjęcia najlepszych praktyk w zakresie bezpieczeństwa w Internecie. Oto kilka kluczowych kroków, które użytkownicy mogą podjąć, aby uchronić się przed ofiarami ataków typu phishing:

• Bądź sceptyczny wobec niechcianych wiadomości e-mail : unikaj otwierania wiadomości e-mail od nieznanych nadawców.
• Zachowaj ostrożność, nawet jeśli e-mail wydaje się pochodzić ze znanego źródła; w razie wątpliwości zweryfikuj adres e-mail nadawcy.
• Sprawdź adresy URL i łącza : najedź kursorem na łącza e-mail, aby wyświetlić podgląd adresu URL przed kliknięciem.
• Zweryfikuj legalność witryny, porównując adres URL w wiadomości e-mail z adresem oficjalnej witryny.
• Sprawdź treść wiadomości e-mail pod kątem czerwonych flag : poszukaj błędów ortograficznych i gramatycznych, które mogą wskazywać na próby wyłudzenia informacji. Uważaj na pilne lub groźne sformułowania, które zmuszają Cię do podjęcia natychmiastowych działań.
• Aktualizuj i używaj oprogramowania zabezpieczającego : Aktualizuj swój system operacyjny, oprogramowanie chroniące przed złośliwym oprogramowaniem i aplikacje. Korzystaj z renomowanego oprogramowania zabezpieczającego, aby zapewnić ochronę w czasie rzeczywistym przed złośliwym oprogramowaniem.
• Przygotuj się i bądź na bieżąco : bądź na bieżąco z najnowszymi taktykami phishingu i zagrożeniami złośliwym oprogramowaniem. Zapoznaj się z typowymi wskaźnikami phishingu, takimi jak ogólne powitania i prośby o podanie poufnych informacji.
• Zachowaj ostrożność przy załącznikach : Unikaj otwierania załączników z nieznanych lub nieoczekiwanych źródeł. Przed pobraniem lub otwarciem załączników potwierdź autentyczność nadawcy.
• Uważaj na taktyki inżynierii społecznej : zachowaj ostrożność w przypadku próśb o podanie poufnych informacji, zwłaszcza haseł lub szczegółów finansowych. Zweryfikuj tożsamość osób lub organizacji składających nietypowe prośby za pośrednictwem zaufanego kanału.

Włączając te praktyki do swojego zachowania w Internecie, możesz znacznie zmniejszyć ryzyko stania się ofiarą ataków phishingowych zawierających zagrożenia złośliwym oprogramowaniem. Zachowanie czujności i ciągłe aktualizowanie wiedzy na temat najlepszych praktyk w zakresie cyberbezpieczeństwa ma kluczowe znaczenie w stale zmieniającym się krajobrazie zagrożeń internetowych.