Multi-License Discount Quote
Hotdatabas Malware Ov3r_Stealer Malware

Ov3r_Stealer Malware

Med Mezo år Malware, Phishing, Stealers
Översätt till:
Svenska

Hotaktörer utnyttjar falska jobbannonser på Facebook för att lura potentiella offer att omedvetet installera en ny Windows-baserad skadlig programvara känd som Ov3r_Stealer. Denna hotfulla programvara är speciellt framtagen för att stjäla referenser och kryptoplånböcker, vidarebefordra insamlad data till en Telegram-kanal som övervakas av hotaktören.

Ov3r_Stealer uppvisar ett brett utbud av funktioner, inklusive extrahering av IP-adressbaserad plats, hårdvaruinformation, lösenord, cookies, kreditkortsuppgifter, automatisk fyllning av data, webbläsartillägg, kryptoplånböcker, Microsoft Office-dokument och en lista över installerad säkerhet produkter på den komprometterade värden.

Även om det slutliga syftet med denna kampanj fortfarande är oklar, bjuds den erhållna informationen troligen ut till försäljning till andra hotaktörer. Alternativt kan Ov3r_Stealer genomgå uppdateringar över tid, eventuellt förvandlas till en laddare som liknar QakBot , vilket underlättar distributionen av ytterligare nyttolaster, såsom ransomware.

Attackkedjan som distribuerar Ov3r_Stealer Malware

Attacken börjar med en beväpnad PDF-fil, som felaktigt presenterar sig själv som ett dokument lagrat på OneDrive. Det uppmuntrar användare att klicka på en "Åtkomst till dokument"-knapp inbäddad i. Forskare har hittat distributionen av denna PDF-fil genom ett vilseledande Facebook-konto som utger sig för att vara Amazons vd Andy Jassy och bedrägliga Facebook-annonser som annonserar digitala reklampositioner.

När användarna klickar på knappen får användarna en internetgenvägsfil (.URL) förklädd som ett DocuSign-dokument på Discords innehållsleveransnätverk (CDN). Den här genvägsfilen fungerar som en väg för att leverera en kontrollpanelobjekt (.CPL)-fil, som sedan exekveras med hjälp av Windows Kontrollpanels processbinär ('control.exe').

Att köra CPL-filen initierar hämtning av en PowerShell-lastare ('DATA1.txt') från ett GitHub-förråd, vilket i slutändan leder till lanseringen av Ov3r_Stealer.

Likheter mellan Ov3r_Stealer och andra hot mot skadlig programvara

Cybersäkerhetsforskare framhåller att hotaktörer använde en nästan identisk infektionskedja för att distribuera en annan stjälare känd som Phemedrone Stealer, och utnyttjade Microsoft Windows Defender SmartScreens förbikopplingssårbarhet (CVE-2023-36025, CVSS-poäng: 8,8). Likheten sträcker sig ytterligare, med användningen av GitHub-förvaret (nateeintanan2527) och närvaron av likheter på kodnivå mellan Ov3r_Stealer och Phemedrone. Det är tänkbart att Phemedrone har genomgått omanvändning och omprofilering som Ov3r_Stealer, med den primära skillnaden att Phemedrone är kodad i C#.

För att förstärka kopplingarna mellan de två stjälarnas skadliga program har hotaktören observerats dela nyhetsrapporter om Phemedrone Stealer på sina Telegram-kanaler för att förbättra "street cred" för deras malware-as-a-service (MaaS)-verksamhet.

Ett av meddelandena som observerades lyder: 'Min anpassade stjälare skapar rubriker och visar upp dess undvikande. Jag är utvecklaren bakom det, så glad just nu.' Hotaktörerna uttrycker frustration över det faktum att trots sina ansträngningar att hålla allt "i minnet" lyckades hotjägare "vända hela exploateringskedjan."

Hur kan du undvika nätfiskeattacker som ger hot mot skadlig programvara?

För att undvika nätfiskeattacker som ger hot mot skadlig programvara krävs en kombination av vaksamhet, medvetenhet och antagande av bästa praxis för onlinesäkerhet. Här är några viktiga steg som användare kan vidta för att skydda sig från att falla offer för nätfiskeattacker:

  • Var skeptisk till oönskade e-postmeddelanden : Undvik att öppna e-postmeddelanden från okända avsändare.
  • Var försiktig även om e-postmeddelandet verkar komma från en känd källa; verifiera avsändarens e-postadress om du är osäker.
  • Verifiera webbadresser och länkar : Håll muspekaren över e-postlänkar för att förhandsgranska webbadressen innan du klickar.
  • Verifiera webbplatsens legitimitet genom att jämföra webbadressen i e-postmeddelandet med den officiella webbplatsens adress.
  • Kontrollera e-postinnehåll för röda flaggor : Leta efter stavnings- och grammatikfel, som kan indikera nätfiskeförsök. Var försiktig med brådskande eller hotande språk som pressar dig att vidta omedelbara åtgärder.
  • Uppdatera och använd säkerhetsprogramvara : Håll ditt operativsystem, anti-malware-programvara och applikationer aktuella. Använd ansedd säkerhetsprogramvara för att ge realtidsskydd mot skadlig programvara.
  • Förbered dig och håll dig informerad : Håll dig informerad om de senaste nätfisketaktikerna och skadliga hot. Utbilda dig själv om vanliga nätfiskeindikatorer, som generiska hälsningar och förfrågningar om känslig information.
  • Var försiktig med bilagor : Undvik att öppna bilagor från okända eller oväntade källor. Bekräfta avsändarens legitimitet innan du laddar ner eller öppnar bilagor.
  • Se upp för Social Engineering Tactics : Var försiktig med förfrågningar om känslig information, särskilt lösenord eller ekonomiska detaljer. Verifiera identiteten på individer eller organisationer som gör ovanliga förfrågningar via en betrodd kanal.

Genom att införliva dessa metoder i ditt onlinebeteende kan du avsevärt minska risken för att falla offer för nätfiskeattacker som ger skadlig programvara. Att vara vaksam och ständigt uppdatera din kunskap om bästa praxis för cybersäkerhet är avgörande i det ständigt föränderliga landskapet av onlinehot.


Trendigt

Mest sedda

Läser in...