Ov3r_Stealer Malware
Actorii de amenințări exploatează anunțuri false de locuri de muncă pe Facebook pentru a înșela potențialele victime, astfel încât să instaleze fără să vrea un nou malware bazat pe Windows, cunoscut sub numele de Ov3r_Stealer. Acest software amenințător este creat special pentru a fura acreditările și portofelele cripto, redirecționând datele colectate către un canal Telegram monitorizat de actorul amenințării.
Ov3r_Stealer prezintă o gamă largă de capabilități, inclusiv extragerea locației bazate pe adrese IP, informații hardware, parole, cookie-uri, detalii despre cardul de credit, date de completare automată, extensii de browser, portofele cripto, documente Microsoft Office și o listă de securitate instalată. produse pe gazda compromisă.
Deși obiectivul final al acestei campanii rămâne neclar, informațiile obținute sunt probabil oferite spre vânzare altor actori amenințări. Alternativ, Ov3r_Stealer poate suferi actualizări în timp, transformându-se potențial într-un încărcător similar cu QakBot , facilitând desfășurarea de încărcături suplimentare, cum ar fi ransomware.
Cuprins
Lanțul de atac care implementează programul malware Ov3r_Stealer
Atacul începe cu un fișier PDF armat, prezentându-se în mod fals ca un document stocat pe OneDrive. Încurajează utilizatorii să facă clic pe un buton „Acces document” încorporat în interior. Cercetătorii au identificat distribuția acestui fișier PDF printr-un cont de Facebook înșelător, pretinzând drept CEO-ul Amazon, Andy Jassy, și reclame frauduloase pe Facebook care promovează poziții de publicitate digitală.
După ce fac clic pe butonul, utilizatorii primesc un fișier de comandă rapidă pe internet (.URL) deghizat ca document DocuSign găzduit în rețeaua de livrare de conținut (CDN) a Discord. Acest fișier de comandă rapidă servește ca o cale pentru a livra un fișier element din panoul de control (.CPL), care este apoi executat utilizând binarul procesului Windows Control Panel („control.exe”).
Executarea fișierului CPL inițiază preluarea unui încărcător PowerShell („DATA1.txt”) dintr-un depozit GitHub, ducând în cele din urmă la lansarea lui Ov3r_Stealer.
Asemănări între Ov3r_Stealer și alte amenințări malware
Cercetătorii în domeniul securității cibernetice evidențiază faptul că actorii amenințărilor au folosit un lanț de infecție aproape identic pentru a implementa un alt furt cunoscut sub numele de Phhemedrone Stealer, exploatând vulnerabilitatea Microsoft Windows Defender SmartScreen bypass (CVE-2023-36025, scor CVSS: 8,8). Asemănarea se extinde mai departe, cu utilizarea depozitului GitHub (nateeintanan2527) și prezența unor asemănări la nivel de cod între Ov3r_Stealer și Phhemedrone. Este de imaginat că Phhemedrone a suferit reutilizare și rebranding ca Ov3r_Stealer, distincția principală fiind că Phhemedrone este codificat în C#.
Pentru a consolida legăturile dintre cele două programe malware furatoare, actorul amenințării a fost observat împărtășind rapoarte de știri despre Phhemedrone Stealer pe canalele Telegram pentru a îmbunătăți „credința de stradă” a afacerii lor de malware-as-a-service (MaaS).
Unul dintre mesajele observate spune: „Hotul meu personalizat face titluri, arătându-și evaziunea. Eu sunt dezvoltatorul din spatele lui, atât de încântat acum. Actorii amenințărilor își exprimă frustrarea față de faptul că, în ciuda eforturilor lor de a păstra totul „în memorie”, vânătorii de amenințări au reușit „să inverseze întregul lanț de exploatare”.
Cum poți evita atacurile de tip phishing care generează amenințări malware?
Evitarea atacurilor de tip phishing care generează amenințări malware necesită o combinație de vigilență, conștientizare și adoptarea celor mai bune practici pentru securitatea online. Iată câțiva pași cheie pe care utilizatorii pot lua pentru a se proteja de a nu cădea victimele atacurilor de tip phishing:
- Fiți sceptic față de e-mailurile nesolicitate : evitați deschiderea e-mailurilor de la expeditori necunoscuți.
- Fiți precaut chiar dacă e-mailul pare să provină dintr-o sursă cunoscută; verificați adresa de e-mail a expeditorului dacă aveți îndoieli.
- Verificați adresele URL și linkurile : treceți cursorul peste linkurile de e-mail pentru a previzualiza adresa URL înainte de a da clic.
- Verificați legitimitatea site-ului web comparând adresa URL din e-mail cu adresa site-ului oficial.
- Verificați conținutul de e-mail pentru semnale roșii : căutați erori de ortografie și gramaticale, care pot indica încercări de phishing. Fiți atenți la limbajul urgent sau amenințător care vă presează să luați măsuri imediate.
- Actualizați și utilizați software de securitate : mențineți sistemul de operare, software-ul anti-malware și aplicațiile actuale. Utilizați software de securitate reputat pentru a oferi protecție în timp real împotriva programelor malware.
- Pregătește-te și rămâi informat : rămâi la curent cu cele mai recente tactici de phishing și amenințări malware. Educați-vă cu privire la indicatorii obișnuiți de phishing, cum ar fi salutările generice și solicitările de informații sensibile.
- Fiți precaut cu atașamentele : evitați deschiderea atașamentelor din surse necunoscute sau neașteptate. Coroborați legitimitatea expeditorului înainte de a descărca sau deschide atașamente.
- Urmăriți tacticile de inginerie socială : fiți atenți la solicitările de informații sensibile, în special parole sau detalii financiare. Verificați identitatea persoanelor sau organizațiilor care fac cereri neobișnuite printr-un canal de încredere.
Încorporând aceste practici în comportamentul dvs. online, puteți reduce riscul de a deveni victima unor atacuri de tip phishing care generează amenințări malware în mod semnificativ. Rămâneți vigilenți și actualizați în mod continuu cunoștințele despre cele mai bune practici de securitate cibernetică este crucial în peisajul în continuă evoluție al amenințărilor online.
