Ov3r_Stealer Malware

Aktorët e kërcënimit po shfrytëzojnë reklama false për punë në Facebook për të mashtruar viktimat e mundshme që të instalojnë padashur një malware të ri të bazuar në Windows të njohur si Ov3r_Stealer. Ky softuer kërcënues është krijuar posaçërisht për të grabitur kredencialet dhe kuletat kripto, duke i përcjellë të dhënat e mbledhura në një kanal Telegram të monitoruar nga aktori i kërcënimit.

Ov3r_Stealer shfaq një gamë të gjerë aftësish, duke përfshirë nxjerrjen e vendndodhjes së bazuar në adresën IP, informacionin e harduerit, fjalëkalimet, cookie-t, detajet e kartës së kreditit, të dhënat e plotësimit automatik, shtesat e shfletuesit, kuletat e kriptove, dokumentet e Microsoft Office dhe një listë të sigurisë së instaluar produktet në hostin e komprometuar.

Megjithëse objektivi përfundimtar i kësaj fushate mbetet i paqartë, informacioni i marrë me siguri po u ofrohet për shitje aktorëve të tjerë të kërcënimit. Përndryshe, Ov3r_Stealer mund t'i nënshtrohet përditësimeve me kalimin e kohës, duke u shndërruar potencialisht në një ngarkues të ngjashëm me QakBot , duke lehtësuar vendosjen e ngarkesave shtesë, të tilla si ransomware.

Zinxhiri i sulmit që vendos malware-in Ov3r_Stealer

Sulmi fillon me një skedar PDF të armatosur, duke u paraqitur në mënyrë të rreme si një dokument i ruajtur në OneDrive. Ai inkurajon përdoruesit të klikojnë një buton "Qasja në Dokument" të ngulitur brenda. Studiuesit kanë vënë në dukje shpërndarjen e këtij skedari PDF përmes një llogarie mashtruese në Facebook që paraqitet si CEO i Amazon Andy Jassy dhe reklamave mashtruese të Facebook që reklamojnë pozicione reklamimi dixhitale.

Me klikimin e butonit, përdoruesit marrin një skedar të shkurtores së internetit (.URL) i maskuar si një dokument DocuSign i vendosur në rrjetin e shpërndarjes së përmbajtjes së Discord (CDN). Ky skedar i shkurtores shërben si një shteg për të ofruar një skedar të artikullit të panelit të kontrollit (.CPL), i cili më pas ekzekutohet duke përdorur binarin e procesit të Panelit të Kontrollit të Windows ('control.exe').

Ekzekutimi i skedarit CPL fillon rikthimin e një ngarkuesi PowerShell ('DATA1.txt') nga një depo GitHub, duke çuar përfundimisht në lëshimin e Ov3r_Stealer.

Ngjashmëritë midis Ov3r_Stealer dhe kërcënimeve të tjera malware

Studiuesit e sigurisë kibernetike theksojnë se aktorët e kërcënimit përdorën një zinxhir infeksioni pothuajse identik për të vendosur një tjetër vjedhës të njohur si Phemedrone Stealer, duke shfrytëzuar cenueshmërinë e anashkalimit të Microsoft Windows Defender SmartScreen (CVE-2023-36025, rezultati CVSS: 8.8). Ngjashmëria shtrihet më tej, me përdorimin e depove GitHub (nateeintanan2527) dhe praninë e ngjashmërive të nivelit të kodit midis Ov3r_Stealer dhe Phemedrone. Mund të imagjinohet që Phemedrone i është nënshtruar ripërdorimit dhe riemërtimit si Ov3r_Stealer, me dallimin kryesor që Femedroni është i koduar në C#.

Për të përforcuar lidhjet midis dy malware vjedhës, aktori i kërcënimit është vërejtur duke ndarë raporte lajmesh rreth Phemedrone Stealer në kanalet e tyre Telegram për të rritur 'kredinë e rrugës' të biznesit të tyre malware-si-shërbim (MaaS).

Një nga mesazhet e vëzhguara thotë: 'Vjedhësi im me porosi po bën tituj, duke treguar evazivitetin e tij. Unë jam zhvilluesi pas tij, kaq i emocionuar tani.' Aktorët e kërcënimit shprehin zhgënjimin për faktin se pavarësisht përpjekjeve të tyre për të mbajtur gjithçka 'në kujtesë', gjuetarët e kërcënimeve arritën të 'përmbysnin të gjithë zinxhirin e shfrytëzimit'.

Si mund të shmangni sulmet e phishing që sjellin kërcënime malware?

Shmangia e sulmeve të phishing që sjellin kërcënime malware kërkon një kombinim të vigjilencës, ndërgjegjësimit dhe miratimit të praktikave më të mira për sigurinë në internet. Këtu janë disa hapa kyç që përdoruesit mund të ndërmarrin për të mbrojtur veten nga rënia viktimë e sulmeve të phishing:

• Jini skeptik ndaj emaileve të padëshiruara : Shmangni hapjen e emaileve nga dërgues të panjohur.
• Jini të kujdesshëm edhe nëse emaili duket se vjen nga një burim i njohur; verifikoni adresën e emailit të dërguesit nëse keni dyshime.
• Verifikoni URL-të dhe Lidhjet : Kaloni mbi lidhjet e emailit për të parë paraprakisht URL-në përpara se të klikoni.
• Verifikoni legjitimitetin e faqes së internetit duke krahasuar URL-në në email me adresën e faqes zyrtare të internetit.
• Kontrolloni përmbajtjen e emailit për flamujt e kuq : Kërkoni për gabime drejtshkrimore dhe gramatikore, të cilat mund të tregojnë përpjekje për phishing. Jini të kujdesshëm ndaj gjuhës urgjente ose kërcënuese që ju shtyn të merrni masa të menjëhershme.
• Përditësoni dhe përdorni softuerin e sigurisë : Mbani aktual sistemin tuaj operativ, softuerin anti-malware dhe aplikacionet. Përdorni softuer sigurie me reputacion për të ofruar mbrojtje në kohë reale kundër malware.
• Përgatituni dhe qëndroni të informuar : Qëndroni të informuar për taktikat më të fundit të phishing dhe kërcënimet e malware. Edukoni veten mbi treguesit e zakonshëm të phishing, të tilla si përshëndetjet e përgjithshme dhe kërkesat për informacione të ndjeshme.
• Jini të kujdesshëm me bashkëngjitjet : Shmangni hapjen e bashkëngjitjeve nga burime të panjohura ose të papritura. Vërtetoni legjitimitetin e dërguesit përpara se të shkarkoni ose hapni bashkëngjitjet.
• Kujdes për Taktikat e Inxhinierisë Sociale : Jini të kujdesshëm ndaj kërkesave për informacione të ndjeshme, veçanërisht fjalëkalime ose detaje financiare. Verifikoni identitetin e individëve ose organizatave që bëjnë kërkesa të pazakonta përmes një kanali të besuar.

Duke i përfshirë këto praktika në sjelljen tuaj në internet, ju mund të shkurtoni ndjeshëm rrezikun për t'u bërë viktimë e sulmeve phishing që ofrojnë kërcënime malware. Qëndrimi vigjilent dhe përditësimi i vazhdueshëm i njohurive tuaja mbi praktikat më të mira të sigurisë kibernetike është thelbësore në peizazhin gjithnjë në zhvillim të kërcënimeve në internet.