Multi-License Discount Quote
Banco de Dados de Ameaças Malware Ov3r_Stealer Malware

Ov3r_Stealer Malware

Por Mezo em Malware, Phishing, Stealers
Traduzir Para:
Português

Os agentes de ameaças estão explorando anúncios de emprego falsos no Facebook para enganar possíveis vítimas e fazê-las instalar involuntariamente um novo malware baseado no Windows conhecido como Ov3r_Stealer. Este software ameaçador é criado especificamente para roubar credenciais e carteiras criptográficas, encaminhando os dados coletados para um canal do Telegram monitorado pelo autor da ameaça.

O Ov3r_Stealer exibe uma ampla gama de recursos, incluindo a extração de localização baseada em endereço IP, informações de hardware, senhas, cookies, detalhes de cartão de crédito, dados de preenchimento automático, extensões de navegador, carteiras criptografadas, documentos do Microsoft Office e uma lista de segurança instalada. produtos no host comprometido.

Embora o objectivo final desta campanha permaneça obscuro, a informação obtida está provavelmente a ser colocada à venda a outros actores de ameaças. Alternativamente, o Ov3r_Stealer pode sofrer atualizações ao longo do tempo, potencialmente se transformando em um carregador semelhante ao QakBot, facilitando a implantação de cargas adicionais, como ransomware.

A Cadeia de Ataques que Implanta o Ov3r_Stealer Malware 

O ataque começa com um arquivo PDF transformado em arma, apresentando-se falsamente como um documento armazenado no OneDrive. Ele incentiva os usuários a clicar no botão 'Acessar documento' incorporado. Os pesquisadores identificaram a distribuição deste arquivo PDF por meio de uma conta enganosa no Facebook se passando por Andy Jassy, CEO da Amazon, e anúncios fraudulentos no Facebook anunciando posições de publicidade digital.

Ao clicar no botão, os usuários recebem um arquivo de atalho da internet (.URL) disfarçado de documento DocuSign hospedado na rede de distribuição de conteúdo (CDN) do Discord. Este arquivo de atalho serve como um caminho para entregar um arquivo de item do painel de controle (.CPL), que é então executado usando o binário do processo do Painel de Controle do Windows ('control.exe').

A execução do arquivo CPL inicia a recuperação de um carregador PowerShell ('DATA1.txt') de um repositório GitHub, levando ao lançamento do Ov3r_Stealer.

Semelhanças entre o Ov3r_Stealer e Outras Ameaças de Malware

Os pesquisadores de segurança cibernética destacam que os agentes de ameaças empregaram uma cadeia de infecção quase idêntica para implantar outro ladrão conhecido como Phemedrone Stealer, explorando a vulnerabilidade de desvio do Microsoft Windows Defender SmartScreen (CVE-2023-36025, pontuação CVSS: 8,8). A semelhança se estende ainda mais, com a utilização do repositório GitHub (nateeintanan2527) e a presença de semelhanças em nível de código entre Ov3r_Stealer e Phemedrone. É concebível que o Phemedrone tenha sido reaproveitado e renomeado como Ov3r_Stealer, com a principal distinção sendo que o Phemedrone é codificado em C#.

Para reforçar as ligações entre os dois malwares ladrões, o ator da ameaça foi observado compartilhando notícias sobre o Phemedrone Stealer em seus canais do Telegram para aumentar a “credibilidade de rua” de seu negócio de malware como serviço (MaaS).

Uma das mensagens observadas diz: “Meu ladrão personalizado está nas manchetes, mostrando sua evasão. Sou o desenvolvedor por trás disso, estou muito emocionado agora. Os atores da ameaça expressam frustração pelo fato de que, apesar de seus esforços para manter tudo “na memória”, os caçadores de ameaças conseguiram “reverter toda a cadeia de exploração”.

Como Você pode Evitar os Ataques de Phishing que Geram as Ameaças de Malware?

Evitar ataques de phishing que geram ameaças de malware requer uma combinação de vigilância, conscientização e adoção de práticas recomendadas de segurança online. Aqui estão algumas etapas importantes que os usuários podem seguir para se protegerem de serem vítimas de ataques de phishing:

  • Seja cético em relação a e-mails não solicitados : Evite abrir e-mails de remetentes desconhecidos.
  • Seja cauteloso mesmo que o e-mail pareça vir de uma fonte conhecida; verifique o endereço de e-mail do remetente em caso de dúvida.
  • Verifique URLs e links : Passe o mouse sobre os links de e-mail para visualizar o URL antes de clicar. Verifique a legitimidade do site comparando o URL do e-mail com o endereço do site oficial.
  • Verifique se há sinais de alerta no conteúdo do e-mail : Procure erros ortográficos e gramaticais, que podem indicar tentativas de phishing. Tenha cuidado com linguagem urgente ou ameaçadora que o pressione a tomar medidas imediatas.
  • Atualize e use software de segurança : Mantenha seu sistema operacional, software antimalware e aplicativos atualizados. Use software de segurança confiável para fornecer proteção em tempo real contra malware.
  • Prepare-se e mantenha-se informado : Mantenha-se informado sobre as mais recentes táticas de phishing e ameaças de malware. Eduque-se sobre indicadores comuns de phishing, como saudações genéricas e solicitações de informações confidenciais.
  • Seja cauteloso com anexos : Evite abrir anexos de fontes desconhecidas ou inesperadas. Confirme a legitimidade do remetente antes de baixar ou abrir anexos.
  • Fique atento às táticas de engenharia social : Seja cauteloso com solicitações de informações confidenciais, especialmente senhas ou detalhes financeiros. Verifique a identidade de indivíduos ou organizações que fazem solicitações incomuns por meio de um canal confiável.

Ao incorporar essas práticas em seu comportamento on-line, você pode reduzir significativamente o risco de ser vítima de ataques de phishing que transmitem ameaças de malware. Manter-se vigilante e atualizar continuamente o seu conhecimento sobre as melhores práticas de segurança cibernética é crucial no cenário em constante evolução das ameaças online.

 

Tendendo

Mais visto

Carregando...