มัลแวร์ Ov3r_Stealer

ผู้คุกคามใช้ประโยชน์จากโฆษณารับสมัครงานปลอมบน Facebook เพื่อหลอกลวงผู้ที่ตกเป็นเหยื่อให้ติดตั้งมัลแวร์บน Windows ตัวใหม่ที่เรียกว่า Ov3r_Stealer โดยไม่ได้ตั้งใจ ซอฟต์แวร์คุกคามนี้ได้รับการออกแบบมาโดยเฉพาะเพื่อขโมยข้อมูลประจำตัวและกระเป๋าเงินดิจิทัล โดยส่งต่อข้อมูลที่รวบรวมไปยังช่องทาง Telegram ที่ตรวจสอบโดยผู้คุกคาม

Ov3r_Stealer จัดแสดงความสามารถที่หลากหลาย รวมถึงการดึงข้อมูลตำแหน่งตามที่อยู่ IP ข้อมูลฮาร์ดแวร์ รหัสผ่าน คุกกี้ รายละเอียดบัตรเครดิต ข้อมูลกรอกอัตโนมัติ ส่วนขยายเบราว์เซอร์ กระเป๋าเงินเข้ารหัส เอกสาร Microsoft Office และรายการความปลอดภัยที่ติดตั้ง ผลิตภัณฑ์บนโฮสต์ที่ถูกบุกรุก

แม้ว่าวัตถุประสงค์สูงสุดของแคมเปญนี้ยังไม่ชัดเจน แต่ข้อมูลที่ได้รับอาจถูกเสนอขายให้กับผู้แสดงภัยคุกคามรายอื่น อีกทางหนึ่ง Ov3r_Stealer อาจได้รับการอัปเดตเมื่อเวลาผ่านไป ซึ่งอาจเปลี่ยนเป็นตัวโหลดที่คล้ายกับ QakBot ซึ่งอำนวยความสะดวกในการติดตั้งเพย์โหลดเพิ่มเติม เช่น แรนซัมแวร์

ห่วงโซ่การโจมตีปรับใช้มัลแวร์ Ov3r_Stealer

การโจมตีเริ่มต้นด้วยไฟล์ PDF ที่ติดตั้งอาวุธ โดยปลอมแปลงตัวเองเป็นเอกสารที่เก็บไว้ใน OneDrive สนับสนุนให้ผู้ใช้คลิกปุ่ม 'เข้าถึงเอกสาร' ที่ฝังอยู่ภายใน นักวิจัยได้ระบุการเผยแพร่ไฟล์ PDF นี้ผ่านบัญชี Facebook หลอกลวงที่สวมรอยเป็น Andy Jassy ซีอีโอของ Amazon และโฆษณา Facebook หลอกลวงที่โฆษณาตำแหน่งโฆษณาดิจิทัล

เมื่อคลิกปุ่ม ผู้ใช้จะได้รับไฟล์ทางลัดอินเทอร์เน็ต (.URL) ซึ่งปลอมตัวเป็นเอกสาร DocuSign ซึ่งโฮสต์บนเครือข่ายการจัดส่งเนื้อหา (CDN) ของ Discord ไฟล์ทางลัดนี้ทำหน้าที่เป็นเส้นทางในการส่งไฟล์รายการแผงควบคุม (.CPL) ซึ่งจะถูกดำเนินการโดยใช้ไบนารีกระบวนการของแผงควบคุม Windows ('control.exe')

การดำเนินการไฟล์ CPL จะเริ่มต้นการดึงข้อมูลตัวโหลด PowerShell ('DATA1.txt') จากที่เก็บ GitHub ซึ่งนำไปสู่การเปิดตัว Ov3r_Stealer ในท้ายที่สุด

ความคล้ายคลึงกันระหว่าง Ov3r_Stealer และภัยคุกคามมัลแวร์อื่น ๆ

นักวิจัยด้านความปลอดภัยทางไซเบอร์เน้นย้ำว่าผู้คุกคามใช้ห่วงโซ่การติดเชื้อที่เกือบจะเหมือนกันเพื่อปรับใช้ผู้ขโมยรายอื่นที่เรียกว่า Phemedrone Stealer โดยใช้ประโยชน์จากช่องโหว่ในการเลี่ยงผ่าน Microsoft Windows Defender SmartScreen (CVE-2023-36025, คะแนน CVSS: 8.8) ความคล้ายคลึงดังกล่าวขยายออกไปอีก ด้วยการใช้ประโยชน์จากพื้นที่เก็บข้อมูล GitHub (nateeintanan2527) และการมีความคล้ายคลึงกันระดับโค้ดระหว่าง Ov3r_Stealer และ Phemedrone เป็นไปได้ว่า Phemedrone ได้รับการเปลี่ยนชื่อใหม่และเปลี่ยนชื่อเป็น Ov3r_Stealer โดยมีความแตกต่างหลักคือ Phemedrone ถูกเขียนด้วยภาษา C#

เพื่อเสริมสร้างการเชื่อมโยงระหว่างมัลแวร์ขโมยสองตัวนี้ ผู้คุกคามได้แชร์รายงานข่าวเกี่ยวกับ Phemedrone Stealer บนช่องทาง Telegram เพื่อปรับปรุง 'ความน่าเชื่อถือบนท้องถนน' ของธุรกิจมัลแวร์ในรูปแบบบริการ (MaaS)

ข้อความหนึ่งที่สังเกตเห็นคือ 'ผู้ขโมยแบบกำหนดเองของฉันกำลังพาดหัวข่าว แสดงให้เห็นการหลบเลี่ยง' ฉันเป็นนักพัฒนาที่อยู่เบื้องหลัง ตอนนี้ตื่นเต้นมาก" ผู้แสดงภัยคุกคามแสดงความคับข้องใจกับความจริงที่ว่าแม้จะพยายามเก็บทุกอย่างไว้ในความทรงจำ แต่นักล่าภัยคุกคามก็สามารถ 'ย้อนกลับห่วงโซ่การหาประโยชน์ทั้งหมด' ได้

คุณจะหลีกเลี่ยงการโจมตีแบบฟิชชิ่งที่ส่งภัยคุกคามมัลแวร์ได้อย่างไร?

การหลีกเลี่ยงการโจมตีแบบฟิชชิ่งที่ส่งภัยคุกคามจากมัลแวร์ต้องอาศัยการระมัดระวัง ความตระหนักรู้ และการนำแนวทางปฏิบัติที่ดีที่สุดสำหรับการรักษาความปลอดภัยออนไลน์มาใช้ร่วมกัน ต่อไปนี้เป็นขั้นตอนสำคัญที่ผู้ใช้สามารถดำเนินการเพื่อปกป้องตนเองจากการตกเป็นเหยื่อการโจมตีแบบฟิชชิ่ง:

• ระวังอีเมลที่ไม่พึงประสงค์ : หลีกเลี่ยงการเปิดอีเมลจากผู้ส่งที่ไม่รู้จัก
• โปรดใช้ความระมัดระวังแม้ว่าอีเมลจะดูเหมือนมาจากแหล่งที่รู้จักก็ตาม ตรวจสอบที่อยู่อีเมลของผู้ส่งหากมีข้อสงสัย
• ตรวจสอบ URL และลิงก์ : วางเมาส์เหนือลิงก์อีเมลเพื่อดูตัวอย่าง URL ก่อนที่จะคลิก
• ตรวจสอบความถูกต้องของเว็บไซต์โดยการเปรียบเทียบ URL ในอีเมลกับที่อยู่ของเว็บไซต์อย่างเป็นทางการ
• ตรวจสอบเนื้อหาอีเมลเพื่อหาธงสีแดง : มองหาข้อผิดพลาดในการสะกดและไวยากรณ์ ซึ่งอาจบ่งบอกถึงความพยายามในการฟิชชิ่ง ระวังคำพูดที่เร่งด่วนหรือข่มขู่ซึ่งกดดันให้คุณดำเนินการทันที
• อัปเดตและใช้ซอฟต์แวร์ความปลอดภัย : ทำให้ระบบปฏิบัติการ ซอฟต์แวร์ป้องกันมัลแวร์ และแอปพลิเคชันของคุณเป็นปัจจุบันอยู่เสมอ ใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียงเพื่อให้การป้องกันมัลแวร์แบบเรียลไทม์
• เตรียมตัวให้พร้อมและรับข้อมูลอยู่เสมอ : รับข่าวสารเกี่ยวกับกลยุทธ์ฟิชชิ่งและภัยคุกคามมัลแวร์ล่าสุด ให้ความรู้เกี่ยวกับตัวชี้วัดฟิชชิ่งทั่วไป เช่น คำทักทายทั่วไปและการร้องขอข้อมูลที่ละเอียดอ่อน
• ระมัดระวังไฟล์แนบ : หลีกเลี่ยงการเปิดไฟล์แนบจากแหล่งที่ไม่รู้จักหรือไม่คาดคิด ยืนยันความถูกต้องของผู้ส่งก่อนที่จะดาวน์โหลดหรือเปิดไฟล์แนบ
• ระวังกลยุทธ์วิศวกรรมสังคม : ระวังคำขอข้อมูลที่ละเอียดอ่อน โดยเฉพาะรหัสผ่านหรือรายละเอียดทางการเงิน ตรวจสอบตัวตนของบุคคลหรือองค์กรที่ส่งคำขอที่ผิดปกติผ่านช่องทางที่เชื่อถือได้

ด้วยการรวมแนวทางปฏิบัติเหล่านี้เข้ากับพฤติกรรมออนไลน์ของคุณ คุณสามารถลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่งที่ส่งภัยคุกคามมัลแวร์ได้อย่างมาก การระมัดระวังและอัปเดตความรู้ของคุณเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่องเป็นสิ่งสำคัญในภูมิทัศน์ของภัยคุกคามออนไลน์ที่มีการพัฒนาอยู่ตลอดเวลา