Ov3r_Stealer Malware

Pinagsasamantalahan ng mga banta ng aktor ang mga pekeng advertisement ng trabaho sa Facebook upang linlangin ang mga potensyal na biktima sa hindi sinasadyang pag-install ng bagong malware na nakabatay sa Windows na kilala bilang Ov3r_Stealer. Ang nagbabantang software na ito ay partikular na ginawa upang kunin ang mga kredensyal at crypto wallet, na ipinapasa ang nakolektang data sa isang Telegram channel na sinusubaybayan ng aktor ng pagbabanta.

Ang Ov3r_Stealer ay nagpapakita ng malawak na hanay ng mga kakayahan, kabilang ang pagkuha ng IP address-based na lokasyon, impormasyon ng hardware, password, cookies, mga detalye ng credit card, auto-fill data, mga extension ng browser, crypto wallet, mga dokumento ng Microsoft Office, at isang listahan ng naka-install na seguridad mga produkto sa nakompromisong host.

Bagama't ang pinakalayunin ng kampanyang ito ay nananatiling hindi malinaw, ang nakuhang impormasyon ay malamang na iniaalok para ibenta sa iba pang mga banta na aktor. Bilang kahalili, ang Ov3r_Stealer ay maaaring sumailalim sa mga pag-update sa paglipas ng panahon, na posibleng mag-transform sa isang loader na katulad ng QakBot , na nagpapadali sa pag-deploy ng mga karagdagang payload, gaya ng ransomware.

Ang Attack Chain na Nagde-deploy ng Ov3r_Stealer Malware

Ang pag-atake ay nagsisimula sa isang sandatahang PDF file, na maling ipinapakita ang sarili bilang isang dokumentong nakaimbak sa OneDrive. Hinihikayat nito ang mga user na mag-click sa pindutan ng 'Access Document' na naka-embed sa loob. Tinukoy ng mga mananaliksik ang pamamahagi ng PDF file na ito sa pamamagitan ng isang mapanlinlang na Facebook account na nagpapanggap bilang CEO ng Amazon na si Andy Jassy at mapanlinlang na mga ad sa Facebook na nag-a-advertise ng mga posisyon sa digital advertising.

Sa pag-click sa pindutan, ang mga user ay makakatanggap ng isang internet shortcut (.URL) na file na nakatago bilang isang dokumentong DocuSign na naka-host sa network ng paghahatid ng nilalaman (CDN) ng Discord. Ang shortcut file na ito ay nagsisilbing pathway para maghatid ng control panel item (.CPL) file, na pagkatapos ay isasagawa gamit ang Windows Control Panel process binary ('control.exe').

Ang pag-execute ng CPL file ay magsisimula ng pagkuha ng PowerShell loader ('DATA1.txt') mula sa isang GitHub repository, na humahantong sa paglulunsad ng Ov3r_Stealer.

Pagkakatulad sa pagitan ng Ov3r_Stealer at Iba Pang Mga Banta sa Malware

Binibigyang-diin ng mga mananaliksik sa cybersecurity na ang mga aktor ng pagbabanta ay gumagamit ng halos magkaparehong chain ng impeksyon upang mag-deploy ng isa pang magnanakaw na kilala bilang Phemedrone Stealer, na sinasamantala ang Microsoft Windows Defender SmartScreen bypass vulnerability (CVE-2023-36025, CVSS score: 8.8). Ang pagkakahawig ay lumalawak pa, kasama ang paggamit ng GitHub repository (nateeintanan2527) at ang pagkakaroon ng pagkakatulad sa antas ng code sa pagitan ng Ov3r_Stealer at Phemedrone. Ito ay naiisip na ang Phemedrone ay sumailalim sa repurposing at rebranding bilang Ov3r_Stealer, na ang pangunahing pagkakaiba ay ang Phemedrone ay naka-code sa C#.

Upang palakasin ang mga ugnayan sa pagitan ng dalawang magnanakaw na malware, ang aktor ng banta ay naobserbahang nagbabahagi ng mga ulat ng balita tungkol sa Phemedrone Stealer sa kanilang mga channel sa Telegram upang mapahusay ang 'street cred' ng kanilang malware-as-a-service (MaaS) na negosyo.

Ang isa sa mga mensaheng naobserbahan ay nagbabasa, 'Ang aking pasadyang magnanakaw ay gumagawa ng mga headline, na nagpapakita ng pagiging iwas nito. Ako ang nag-develop sa likod nito, sobrang kinikilig ngayon.' Ang mga aktor ng pagbabanta ay nagpahayag ng pagkadismaya sa katotohanan na sa kabila ng kanilang mga pagsisikap na panatilihin ang lahat ng 'sa memorya,' ang mga mangangaso ng banta ay pinamamahalaang 'baligtarin ang buong pagsasamantala sa kadena.'

Paano Mo Maiiwasan ang Mga Pag-atake sa Phishing na Naghahatid ng Mga Banta sa Malware?

Ang pag-iwas sa mga pag-atake sa phishing na naghahatid ng mga banta ng malware ay nangangailangan ng kumbinasyon ng pagbabantay, kamalayan, at pagpapatibay ng pinakamahuhusay na kagawian para sa online na seguridad. Narito ang ilang mahahalagang hakbang na maaaring gawin ng mga user upang maprotektahan ang kanilang sarili mula sa pagiging biktima ng mga pag-atake ng phishing:

• Maging Mapag-aalinlangan sa Mga Hindi Hinihinging Email : Iwasang magbukas ng mga email mula sa hindi kilalang mga nagpadala.
• Maging maingat kahit na ang email ay mukhang nagmula sa isang kilalang pinagmulan; i-verify ang email address ng nagpadala kung may pagdududa.
• I-verify ang Mga URL at Link : Mag-hover sa mga link sa email upang i-preview ang URL bago mag-click.
• I-verify ang pagiging lehitimo ng website sa pamamagitan ng paghahambing ng URL sa email sa address ng opisyal na website.
• Suriin ang Nilalaman ng Email para sa Mga Red Flag : Maghanap ng mga error sa spelling at grammar, na maaaring magpahiwatig ng mga pagtatangka sa phishing. Mag-ingat sa madalian o pananakot na pananalita na nagpipilit sa iyo na gumawa ng agarang pagkilos.
• I-update at Gamitin ang Security Software : Panatilihing napapanahon ang iyong operating system, anti-malware software, at mga application. Gumamit ng mapagkakatiwalaang software ng seguridad upang magbigay ng real-time na proteksyon laban sa malware.
• Ihanda ang Iyong Sarili at Manatiling Alam : Manatiling may alam tungkol sa pinakabagong mga taktika sa phishing at banta ng malware. Turuan ang iyong sarili sa mga karaniwang indicator ng phishing, gaya ng mga generic na pagbati at mga kahilingan para sa sensitibong impormasyon.
• Maging Maingat sa Mga Attachment : Iwasang magbukas ng mga attachment mula sa hindi kilalang o hindi inaasahang pinagmulan. Patunayan ang pagiging lehitimo ng nagpadala bago mag-download o magbukas ng mga attachment.
• Panoorin ang Social Engineering Tactics : Maging maingat sa mga kahilingan para sa sensitibong impormasyon, lalo na sa mga password o mga detalye sa pananalapi. I-verify ang pagkakakilanlan ng mga indibidwal o organisasyong gumagawa ng mga hindi pangkaraniwang kahilingan sa pamamagitan ng pinagkakatiwalaang channel.

Sa pamamagitan ng pagsasama ng mga kasanayang ito sa iyong online na gawi, maaari mong paikliin ang panganib na mabiktima ng mga pag-atake ng phishing na naghahatid ng mga banta ng malware nang malaki. Ang pananatiling mapagbantay at patuloy na pag-update ng iyong kaalaman sa pinakamahuhusay na kagawian sa cybersecurity ay mahalaga sa patuloy na nagbabagong tanawin ng mga online na banta.