Zlonamerna programska oprema Ov3r_Stealer

Akterji groženj izkoriščajo lažne oglase za zaposlitev na Facebooku, da potencialne žrtve zavedejo, da nehote namestijo novo zlonamerno programsko opremo, ki temelji na sistemu Windows, znano kot Ov3r_Stealer. Ta grozeča programska oprema je izdelana posebej za krajo poverilnic in kripto denarnic ter posreduje zbrane podatke kanalu Telegram, ki ga nadzira akter grožnje.

Ov3r_Stealer izkazuje široko paleto zmožnosti, vključno z ekstrakcijo lokacije na podlagi naslova IP, informacij o strojni opremi, gesel, piškotkov, podrobnosti o kreditni kartici, podatkov o samodejnem izpolnjevanju, razširitev brskalnika, kripto denarnic, dokumentov Microsoft Office in seznama nameščene varnosti. izdelkov na ogroženem gostitelju.

Čeprav končni cilj te akcije ostaja nejasen, se pridobljene informacije verjetno ponujajo v prodajo drugim akterjem groženj. Druga možnost je, da se Ov3r_Stealer sčasoma posodablja in se potencialno spremeni v nalagalnik, podoben QakBotu , kar olajša uvajanje dodatnih uporabnih obremenitev, kot je izsiljevalska programska oprema.

Veriga napadov z uporabo zlonamerne programske opreme Ov3r_Stealer

Napad se začne z oboroženo datoteko PDF, ki se lažno predstavlja kot dokument, shranjen v OneDrive. Uporabnike spodbuja, da kliknejo gumb »Dostop do dokumenta«, ki je vdelan znotraj. Raziskovalci so natančno določili distribucijo te datoteke PDF prek zavajajočega Facebook računa, ki se predstavlja kot izvršni direktor Amazona Andyja Jassyja, in goljufivih Facebook oglasov, ki oglašujejo položaje digitalnega oglaševanja.

Ob kliku na gumb uporabniki prejmejo datoteko internetne bližnjice (.URL), prikrito kot dokument DocuSign, ki gostuje v Discordovem omrežju za dostavo vsebin (CDN). Ta datoteka z bližnjico služi kot pot za dostavo datoteke elementa nadzorne plošče (.CPL), ki se nato izvede z binarnim procesom nadzorne plošče Windows ('control.exe').

Izvajanje datoteke CPL sproži pridobivanje nalagalnika PowerShell ('DATA1.txt') iz repozitorija GitHub, kar na koncu vodi do zagona Ov3r_Stealer.

Podobnosti med Ov3r_Stealer in drugimi grožnjami zlonamerne programske opreme

Raziskovalci kibernetske varnosti poudarjajo, da so akterji groženj uporabili skoraj enako verigo okužb, da bi uvedli še enega krajca, znanega kot Phemedrone Stealer, ki je izkoriščal ranljivost obvoda Microsoft Windows Defender SmartScreen (CVE-2023-36025, ocena CVSS: 8,8). Podobnost se še povečuje z uporabo repozitorija GitHub (nateeintanan2527) in prisotnostjo podobnosti na ravni kode med Ov3r_Stealer in Phemedrone. Možno je, da je bil Phemedrone preoblikovan in preimenovan v Ov3r_Stealer, pri čemer je glavna razlika ta, da je Phemedrone kodiran v C#.

Da bi okrepili povezave med dvema zlonamernima programoma, so akterja grožnje opazili, kako deli novice o Phemedrone Stealerju na svojih kanalih v Telegramu, da bi okrepil 'ulično zaupanje' njihovega posla zlonamerne programske opreme kot storitve (MaaS).

Eno od opaženih sporočil se glasi: 'Moj tat po meri polni naslovnice in prikazuje svojo izmikanje. Jaz sem razvijalec, ki stoji za njim, in sem trenutno tako navdušen.« Akterji groženj izražajo razočaranje nad dejstvom, da je lovcem na grožnje kljub njihovim prizadevanjem, da bi ohranili vse "v spominu", uspelo "obrniti celotno verigo izkoriščanja."

Kako se lahko izognete napadom lažnega predstavljanja, ki prinašajo grožnje zlonamerni programski opremi?

Da bi se izognili napadom z lažnim predstavljanjem, ki prinašajo grožnje z zlonamerno programsko opremo, je potrebna kombinacija budnosti, ozaveščenosti in sprejetja najboljših praks za spletno varnost. Tukaj je nekaj ključnih korakov, ki jih lahko uporabniki sprejmejo, da se zaščitijo pred lažnim predstavljanjem:

• Bodite skeptični do nezaželene elektronske pošte : izogibajte se odpiranju elektronske pošte neznanih pošiljateljev.
• Bodite previdni, tudi če se zdi, da e-pošta prihaja iz znanega vira; preverite e-poštni naslov pošiljatelja, če ste v dvomih.
• Preverite URL-je in povezave : premaknite miškin kazalec nad e-poštne povezave za predogled URL-ja, preden kliknete.
• Preverite legitimnost spletnega mesta tako, da primerjate URL v e-pošti z naslovom uradnega spletnega mesta.
• Preverite vsebino e-pošte za rdeče zastavice : poiščite črkovalne in slovnične napake, ki lahko kažejo na poskuse lažnega predstavljanja. Bodite previdni pri nujnem ali grozečem jeziku, ki vas sili k takojšnjemu ukrepanju.
• Posodobite in uporabljajte varnostno programsko opremo : Poskrbite, da bo vaš operacijski sistem, programska oprema za zaščito pred zlonamerno programsko opremo in aplikacije posodobljeni. Za zagotavljanje zaščite pred zlonamerno programsko opremo v realnem času uporabite priznano varnostno programsko opremo.
• Pripravite se in ostanite obveščeni : Bodite obveščeni o najnovejših taktikah lažnega predstavljanja in grožnjah z zlonamerno programsko opremo. Poučite se o običajnih indikatorjih lažnega predstavljanja, kot so splošni pozdravi in zahteve po občutljivih informacijah.
• Bodite previdni s prilogami : Izogibajte se odpiranju prilog iz neznanih ali nepričakovanih virov. Preden prenesete ali odprete priloge, potrdite legitimnost pošiljatelja.
• Bodite pozorni na taktike socialnega inženiringa : Bodite previdni pri zahtevah po občutljivih informacijah, zlasti gesel ali finančnih podrobnosti. Preverite identiteto posameznikov ali organizacij, ki pošiljajo nenavadne zahteve prek zaupanja vrednega kanala.

Z vključitvijo teh praks v vaše spletno vedenje lahko znatno zmanjšate tveganje, da postanete žrtev lažnega predstavljanja, ki predstavlja grožnje zlonamerne programske opreme. Biti pozoren in nenehno posodabljati svoje znanje o najboljših praksah kibernetske varnosti je ključnega pomena v nenehno razvijajočem se okolju spletnih groženj.