Ov3r_Stealer Kötü Amaçlı Yazılım
Tehdit aktörleri, potansiyel kurbanları Ov3r_Stealer olarak bilinen yeni bir Windows tabanlı kötü amaçlı yazılımı farkında olmadan yüklemeleri için kandırmak amacıyla Facebook'taki sahte iş reklamlarından yararlanıyor. Bu tehdit edici yazılım, kimlik bilgilerini ve kripto cüzdanlarını çalmak ve toplanan verileri tehdit aktörü tarafından izlenen bir Telegram kanalına iletmek için özel olarak tasarlanmıştır.
Ov3r_Stealer, IP adresi tabanlı konumun çıkarılması, donanım bilgileri, şifreler, çerezler, kredi kartı ayrıntıları, otomatik doldurma verileri, tarayıcı uzantıları, kripto cüzdanları, Microsoft Office belgeleri ve kurulu güvenlik listesinin çıkarılması dahil olmak üzere çok çeşitli yetenekler sergiler. güvenliği ihlal edilmiş ana bilgisayardaki ürünler.
Bu kampanyanın nihai amacı belirsizliğini korusa da, elde edilen bilgilerin muhtemelen diğer tehdit aktörlerine satışa sunulduğu düşünülüyor. Alternatif olarak, Ov3r_Stealer zaman içinde güncellemelere maruz kalabilir ve potansiyel olarak QakBot'a benzer bir yükleyiciye dönüşerek fidye yazılımı gibi ek yüklerin dağıtımını kolaylaştırabilir.
İçindekiler
Ov3r_Stealer Kötü Amaçlı Yazılımını Kullanan Saldırı Zinciri
Saldırı, kendisini yanlışlıkla OneDrive'da depolanan bir belge olarak sunan, silah haline getirilmiş bir PDF dosyasıyla başlıyor. Kullanıcıları, içine yerleştirilmiş 'Belgeye Erişim' düğmesini tıklamaya teşvik eder. Araştırmacılar, bu PDF dosyasının dağıtımını, Amazon CEO'su Andy Jassy gibi davranan aldatıcı bir Facebook hesabı ve dijital reklamcılık pozisyonlarının reklamını yapan sahte Facebook reklamları aracılığıyla tespit etti.
Düğmeye tıklandığında kullanıcılar, Discord'un içerik dağıtım ağında (CDN) barındırılan DocuSign belgesi kılığında bir internet kısayolu (.URL) dosyası alırlar. Bu kısayol dosyası, daha sonra Windows Denetim Masası işlem ikili programı ('control.exe') kullanılarak yürütülen bir kontrol paneli öğesi (.CPL) dosyasını teslim etmek için bir yol görevi görür.
CPL dosyasının yürütülmesi, GitHub deposundan bir PowerShell yükleyicisinin ('DATA1.txt') alınmasını başlatır ve sonuçta Ov3r_Stealer'ın başlatılmasına yol açar.
Ov3r_Stealer ve Diğer Kötü Amaçlı Yazılım Tehditleri Arasındaki Benzerlikler
Siber güvenlik araştırmacıları, tehdit aktörlerinin Phemedrone Stealer olarak bilinen başka bir hırsızı dağıtmak için Microsoft Windows Defender SmartScreen bypass güvenlik açığından (CVE-2023-36025, CVSS puanı: 8,8) yararlanarak neredeyse aynı enfeksiyon zincirini kullandığını vurguluyor. GitHub deposunun (nateeintanan2527) kullanılması ve Ov3r_Stealer ile Phemedrone arasındaki kod düzeyinde benzerliklerin varlığıyla benzerlik daha da artıyor. Phemedrone'un Ov3r_Stealer olarak yeniden markalanması ve farklı amaçlara yönelik olarak yeniden markalanması düşünülebilir; birincil ayrım Phemedrone'un C# ile kodlanmış olmasıdır.
İki hırsız kötü amaçlı yazılım arasındaki bağlantıyı güçlendirmek için tehdit aktörünün, hizmet olarak kötü amaçlı yazılım (MaaS) işinin 'sokak itibarını' artırmak amacıyla Phemedrone Stealer hakkındaki haberleri Telegram kanallarında paylaştığı gözlemlendi.
Gözlemlenen mesajlardan biri şöyle: 'Benim özel hırsızım manşetlere çıkıyor ve kaçamak tavrını sergiliyor. Bunun arkasındaki geliştirici benim, şu anda çok heyecanlıyım.' Tehdit aktörleri, her şeyi 'hafızada' tutma çabalarına rağmen tehdit avcılarının 'tüm istismar zincirini tersine çevirmeyi' başarmalarından duydukları hayal kırıklığını dile getiriyor.
Kötü Amaçlı Yazılım Tehditleri Sağlayan Kimlik Avı Saldırılarından Nasıl Kaçınabilirsiniz?
Kötü amaçlı yazılım tehditleri sunan kimlik avı saldırılarından kaçınmak, dikkatli olmayı, farkındalığı ve çevrimiçi güvenlik için en iyi uygulamaların benimsenmesini gerektirir. Kimlik avı saldırılarının kurbanı olmaktan kendilerini korumak için kullanıcıların atabileceği bazı önemli adımlar şunlardır:
- İstenmeyen E-postalara Karşı Şüpheci Olun : Bilinmeyen gönderenlerden gelen e-postaları açmaktan kaçının.
- E-posta bilinen bir kaynaktan geliyor gibi görünse bile dikkatli olun; şüpheniz varsa gönderenin e-posta adresini doğrulayın.
- URL'leri ve Bağlantıları Doğrulayın : Tıklamadan önce URL'yi önizlemek için e-posta bağlantılarının üzerine gelin.
- E-postadaki URL'yi resmi web sitesinin adresiyle karşılaştırarak web sitesinin meşruiyetini doğrulayın.
- E-posta İçeriğini Kırmızı Bayraklara Karşı Kontrol Edin : Kimlik avı girişimlerini gösterebilecek yazım ve dil bilgisi hatalarını arayın. Sizi derhal harekete geçmeye zorlayan acil veya tehditkar ifadelere karşı dikkatli olun.
- Güvenlik Yazılımını Güncelleyin ve Kullanın : İşletim sisteminizi, kötü amaçlı yazılımdan koruma yazılımınızı ve uygulamalarınızı güncel tutun. Kötü amaçlı yazılımlara karşı gerçek zamanlı koruma sağlamak için saygın güvenlik yazılımlarını kullanın.
- Kendinizi Hazırlayın ve Haberdar Olun : En son kimlik avı taktikleri ve kötü amaçlı yazılım tehditleri hakkında bilgi sahibi olun. Genel selamlamalar ve hassas bilgi talepleri gibi yaygın kimlik avı göstergeleri konusunda kendinizi eğitin.
- Eklere Karşı Dikkatli Olun : Bilinmeyen veya beklenmedik kaynaklardan gelen ekleri açmaktan kaçının. Ekleri indirmeden veya açmadan önce gönderenin meşruiyetini doğrulayın.
- Sosyal Mühendislik Taktiklerine Dikkat Edin : Özellikle şifreler veya finansal ayrıntılar gibi hassas bilgi taleplerine karşı dikkatli olun. Güvenilir bir kanal aracılığıyla olağandışı taleplerde bulunan kişi veya kuruluşların kimliğini doğrulayın.
Bu uygulamaları çevrimiçi davranışınıza dahil ederek, kötü amaçlı yazılım tehditleri sunan kimlik avı saldırılarının kurbanı olma riskini önemli ölçüde azaltabilirsiniz. Siber güvenlikle ilgili en iyi uygulamalar konusunda uyanık kalmak ve bilgilerinizi sürekli güncellemek, sürekli gelişen çevrimiçi tehditler ortamında çok önemlidir.
