Шкідлива програма Ov3r_Stealer
Зловмисники використовують фальшиві оголошення про роботу у Facebook, щоб змусити потенційних жертв мимоволі встановити нове шкідливе програмне забезпечення для Windows, відоме як Ov3r_Stealer. Це загрозливе програмне забезпечення спеціально створене для крадіжки облікових даних і криптогаманців, пересилання зібраних даних на канал Telegram, який контролюється зловмисником.
Ov3r_Stealer демонструє широкий спектр можливостей, включаючи отримання інформації про місцезнаходження на основі IP-адреси, інформації про обладнання, паролів, файлів cookie, даних кредитної картки, даних автоматичного заповнення, розширень браузера, крипто-гаманців, документів Microsoft Office і списку встановлених засобів безпеки. продуктів на скомпрометованому хості.
Хоча кінцева мета цієї кампанії залишається незрозумілою, отримана інформація, ймовірно, продається на продаж іншим суб’єктам загрози. Крім того, Ov3r_Stealer може зазнавати оновлень з часом, потенційно перетворюючись на завантажувач, подібний до QakBot , полегшуючи розгортання додаткових корисних навантажень, таких як програми-вимагачі.
Зміст
Ланцюжок атак із застосуванням шкідливого ПЗ Ov3r_Stealer
Атака починається з збройного PDF-файлу, який фальшиво представляє себе як документ, що зберігається в OneDrive. Він заохочує користувачів натискати вбудовану кнопку «Доступ до документа». Дослідники точно встановили розповсюдження цього PDF-файлу через оманливий обліковий запис Facebook, який видавав себе за генерального директора Amazon Енді Джессі, і шахрайські оголошення Facebook, що рекламують позиції цифрової реклами.
Після натискання кнопки користувачі отримують файл ярлика Інтернету (.URL), замаскований під документ DocuSign, розміщений у мережі доставки контенту (CDN) Discord. Цей файл ярлика служить шляхом для доставки файлу елемента панелі керування (.CPL), який потім виконується за допомогою двійкового файлу процесу панелі керування Windows ('control.exe').
Виконання файлу CPL ініціює отримання завантажувача PowerShell ('DATA1.txt') зі сховища GitHub, що зрештою призводить до запуску Ov3r_Stealer.
Подібність між Ov3r_Stealer та іншими загрозами шкідливого програмного забезпечення
Дослідники з кібербезпеки підкреслюють, що зловмисники використовували майже ідентичний ланцюжок зараження, щоб розгорнути інший викрадач, відомий як Phemedrone Stealer, використовуючи вразливість обходу Microsoft Windows Defender SmartScreen (CVE-2023-36025, оцінка CVSS: 8,8). Схожість поширюється й надалі завдяки використанню репозиторію GitHub (nateeintanan2527) і наявності схожості на рівні коду між Ov3r_Stealer і Phemedrone. Цілком можливо, що Phemedrone зазнало перепрофілювання та ребрендингу на Ov3r_Stealer, головною відмінністю якого є те, що Phemedrone закодовано на C#.
Щоб зміцнити зв’язок між двома зловмисними програмами-викрадачами, було помічено, що зловмисник ділиться новинами про Phemedrone Stealer у своїх каналах Telegram, щоб підвищити «авторитет» свого бізнесу зі зловмисним програмним забезпеченням як послугою (MaaS).
В одному з спостережених повідомлень було написано: «Мій нестандартний викрадач робить заголовки, демонструючи свою ухильність. Я розробник, який стоїть за цим, і зараз дуже схвильований». Автори загрози висловлюють розчарування тим фактом, що, незважаючи на їхні зусилля зберегти все «в пам’яті», мисливцям загроз вдалося «перевернути весь ланцюжок експлойтів».
Як можна уникнути фішингових атак, які створюють загрози зловмисного програмного забезпечення?
Щоб уникнути фішингових атак, які створюють загрози зловмисного програмного забезпечення, потрібна поєднання пильності, обізнаності та застосування найкращих практик безпеки в Інтернеті. Ось кілька ключових кроків, які користувачі можуть зробити, щоб захистити себе від фішингових атак:
- Ставтеся скептично до небажаних електронних листів : уникайте відкривати листи від невідомих відправників.
- Будьте обережні, навіть якщо електронний лист начебто надійшов із відомого джерела; перевірте адресу електронної пошти відправника, якщо сумніваєтеся.
- Перевірте URL-адреси та посилання : наведіть курсор на посилання електронної пошти, щоб переглянути URL-адресу перед натисканням.
- Перевірте легітимність веб-сайту, порівнявши URL-адресу в електронному листі з адресою офіційного веб-сайту.
- Перевірте вміст електронної пошти на наявність червоних прапорців : шукайте орфографічні та граматичні помилки, які можуть свідчити про спроби фішингу. Будьте обережні з терміновими або погрозливими словами, які змушують вас негайно вжити заходів.
- Оновлюйте та використовуйте програмне забезпечення безпеки : оновлюйте свою операційну систему, програмне забезпечення для захисту від зловмисних програм і програми. Використовуйте надійне програмне забезпечення безпеки, щоб забезпечити захист від зловмисного програмного забезпечення в реальному часі.
- Підготуйтеся та будьте в курсі : будьте в курсі останніх тактик фішингу та загроз зловмисного програмного забезпечення. Ознайомтеся з поширеними показниками фішингу, такими як загальні привітання та запити конфіденційної інформації.
- Будьте обережні з вкладеннями : уникайте відкриття вкладень із невідомих або неочікуваних джерел. Перевірте легітимність відправника перед завантаженням або відкриттям вкладень.
- Слідкуйте за тактикою соціальної інженерії : будьте обережні із запитами конфіденційної інформації, особливо паролів або фінансових відомостей. Перевірте особу осіб або організацій, які надсилають незвичні запити через надійний канал.
Впровадивши ці методи у свою поведінку в Інтернеті, ви можете значно скоротити ризик стати жертвою фішингових атак, що створюють загрози зловмисного програмного забезпечення. Залишатися пильним і постійно оновлювати свої знання щодо найкращих методів кібербезпеки є надзвичайно важливим у середовищі онлайн-загроз, що постійно змінюється.
