Вредоносное ПО Ov3r_Stealer
Злоумышленники используют фиктивные объявления о вакансиях на Facebook, чтобы обманом заставить потенциальных жертв невольно установить новое вредоносное ПО для Windows, известное как Ov3r_Stealer. Это угрожающее программное обеспечение специально создано для кражи учетных данных и криптокошельков и пересылки собранных данных на канал Telegram, контролируемый злоумышленником.
Ov3r_Stealer демонстрирует широкий спектр возможностей, включая извлечение местоположения на основе IP-адреса, информации об оборудовании, паролей, файлов cookie, данных кредитной карты, данных автозаполнения, расширений браузера, криптокошельков, документов Microsoft Office и списка установленных средств безопасности. продукты на скомпрометированном хосте.
Хотя конечная цель этой кампании остается неясной, полученная информация, вероятно, предлагается для продажи другим субъектам угроз. Альтернативно, Ov3r_Stealer может со временем обновляться, потенциально превращаясь в загрузчик, аналогичный QakBot , что облегчает развертывание дополнительных полезных нагрузок, таких как программы-вымогатели.
Оглавление
Цепочка атак с использованием вредоносного ПО Ov3r_Stealer
Атака начинается с использования PDF-файла, который ложно выдает себя за документ, хранящийся в OneDrive. Он побуждает пользователей нажимать встроенную кнопку «Доступ к документу». Исследователи установили, что этот PDF-файл распространялся через обманную учетную запись Facebook, выдающую себя за генерального директора Amazon Энди Джасси, а также через мошенническую рекламу в Facebook, рекламирующую позиции цифровой рекламы.
Нажав кнопку, пользователи получают файл ярлыка Интернета (.URL), замаскированный под документ DocuSign, размещенный в сети доставки контента (CDN) Discord. Этот файл ярлыка служит путем для доставки файла элемента панели управления (.CPL), который затем выполняется с использованием двоичного файла процесса панели управления Windows (control.exe).
Выполнение файла CPL инициирует получение загрузчика PowerShell («DATA1.txt») из репозитория GitHub, что в конечном итоге приводит к запуску Ov3r_Stealer.
Сходства между Ov3r_Stealer и другими вредоносными угрозами
Исследователи кибербезопасности подчеркивают, что злоумышленники использовали почти идентичную цепочку заражения для развертывания другого вора, известного как Phemedrone Stealer, используя уязвимость обхода SmartScreen Защитника Microsoft Windows (CVE-2023-36025, оценка CVSS: 8,8). Сходство расширяется еще больше благодаря использованию репозитория GitHub (nateeintanan2527) и наличию сходства на уровне кода между Ov3r_Stealer и Phemedrone. Вполне возможно, что Phemedrone подвергся перепрофилированию и ребрендингу как Ov3r_Stealer, с основным отличием в том, что Phemedrone закодирован на C#.
Чтобы укрепить связи между двумя вредоносными программами-похитителями, злоумышленник делился новостными сообщениями о Phemedrone Stealer на своих каналах Telegram, чтобы повысить «уличный авторитет» своего бизнеса «вредоносное ПО как услуга» (MaaS).
Одно из наблюдаемых сообщений гласит: «Мой похититель заказов попал в заголовки газет, демонстрируя свою уклончивость. Я разработчик, стоящий за этим, и сейчас очень взволнован». Участники угроз выражают разочарование по поводу того, что, несмотря на их усилия сохранить все «в памяти», охотникам за угрозами удалось «перевернуть всю цепочку эксплойтов».
Как избежать фишинговых атак, которые несут вредоносные программы?
Чтобы избежать фишинговых атак, которые несут угрозы вредоносного ПО, требуется сочетание бдительности, осведомленности и внедрения лучших практик онлайн-безопасности. Вот несколько ключевых шагов, которые пользователи могут предпринять, чтобы защитить себя от фишинговых атак:
- Скептически относитесь к нежелательным электронным письмам . Не открывайте электронные письма от неизвестных отправителей.
- Будьте осторожны, даже если кажется, что письмо пришло из известного источника; проверьте адрес электронной почты отправителя, если у вас есть сомнения.
- Проверка URL-адресов и ссылок . Наведите указатель мыши на ссылки электронной почты, чтобы просмотреть URL-адрес перед нажатием.
- Проверьте легитимность веб-сайта, сравнив URL-адрес в электронном письме с адресом официального веб-сайта.
- Проверьте содержимое электронной почты на наличие тревожных флажков : обратите внимание на орфографические и грамматические ошибки, которые могут указывать на попытки фишинга. Остерегайтесь срочных или угрожающих высказываний, которые заставляют вас принять немедленные меры.
- Обновляйте и используйте программное обеспечение безопасности . Поддерживайте актуальность вашей операционной системы, антивирусного программного обеспечения и приложений. Используйте надежное программное обеспечение безопасности, чтобы обеспечить защиту от вредоносных программ в режиме реального времени.
- Подготовьтесь и будьте в курсе : будьте в курсе последних тактик фишинга и угроз вредоносного ПО. Изучите распространенные индикаторы фишинга, такие как общие приветствия и запросы конфиденциальной информации.
- Будьте осторожны с вложениями . Не открывайте вложения из неизвестных или неожиданных источников. Прежде чем загружать или открывать вложения, подтвердите легитимность отправителя.
- Следите за тактикой социальной инженерии : будьте осторожны с запросами конфиденциальной информации, особенно паролей или финансовых данных. Проверьте личность отдельных лиц или организаций, отправляющих необычные запросы через доверенный канал.
Включив эти методы в свое поведение в Интернете, вы можете значительно снизить риск стать жертвой фишинговых атак, создающих угрозы вредоносного ПО. Сохранять бдительность и постоянно обновлять свои знания о передовых методах кибербезопасности имеет решающее значение в постоянно меняющемся ландшафте онлайн-угроз.
