Phần mềm độc hại Ov3r_Stealer

Những kẻ đe dọa đang khai thác các quảng cáo việc làm không có thật trên Facebook để đánh lừa nạn nhân tiềm năng vô tình cài đặt một phần mềm độc hại mới dựa trên Windows có tên là Ov3r_Stealer. Phần mềm đe dọa này được thiết kế đặc biệt để đánh cắp thông tin xác thực và ví tiền điện tử, chuyển tiếp dữ liệu được thu thập đến kênh Telegram do tác nhân đe dọa giám sát.

Ov3r_Stealer thể hiện nhiều khả năng, bao gồm trích xuất vị trí dựa trên địa chỉ IP, thông tin phần cứng, mật khẩu, cookie, chi tiết thẻ tín dụng, dữ liệu tự động điền, tiện ích mở rộng trình duyệt, ví tiền điện tử, tài liệu Microsoft Office và danh sách bảo mật đã cài đặt sản phẩm trên máy chủ bị xâm nhập.

Mặc dù mục tiêu cuối cùng của chiến dịch này vẫn chưa rõ ràng nhưng thông tin thu được có thể đang được rao bán cho các tác nhân đe dọa khác. Ngoài ra, Ov3r_Stealer có thể trải qua các bản cập nhật theo thời gian, có khả năng chuyển đổi thành một trình tải tương tự như QakBot , tạo điều kiện thuận lợi cho việc triển khai các tải trọng bổ sung, chẳng hạn như ransomware.

Chuỗi tấn công triển khai phần mềm độc hại Ov3r_Stealer

Cuộc tấn công bắt đầu bằng một tệp PDF được vũ khí hóa, tự trình bày sai dưới dạng tài liệu được lưu trữ trên OneDrive. Nó khuyến khích người dùng nhấp vào nút 'Truy cập tài liệu' được nhúng bên trong. Các nhà nghiên cứu đã xác định chính xác việc phân phối tệp PDF này thông qua một tài khoản Facebook lừa đảo đóng giả là Giám đốc điều hành Amazon Andy Jassy và các quảng cáo lừa đảo trên Facebook quảng cáo các vị trí quảng cáo kỹ thuật số.

Khi nhấp vào nút, người dùng sẽ nhận được tệp lối tắt internet (.URL) được ngụy trang dưới dạng tài liệu DocuSign được lưu trữ trên mạng phân phối nội dung (CDN) của Discord. Tệp lối tắt này đóng vai trò như một đường dẫn để phân phối tệp mục bảng điều khiển (.CPL), sau đó được thực thi bằng cách sử dụng tệp nhị phân quy trình Bảng điều khiển Windows ('control.exe').

Việc thực thi tệp CPL sẽ bắt đầu truy xuất trình tải PowerShell ('DATA1.txt') từ kho lưu trữ GitHub, cuối cùng dẫn đến việc khởi chạy Ov3r_Stealer.

Điểm tương đồng giữa Ov3r_Stealer và các mối đe dọa phần mềm độc hại khác

Các nhà nghiên cứu an ninh mạng nhấn mạnh rằng các tác nhân đe dọa đã sử dụng một chuỗi lây nhiễm gần như giống hệt nhau để triển khai một kẻ đánh cắp khác có tên Phemedrone Stealer, khai thác lỗ hổng vượt qua Microsoft Windows Defender SmartScreen (CVE-2023-36025, điểm CVSS: 8,8). Sự giống nhau còn mở rộng hơn nữa, với việc sử dụng kho lưu trữ GitHub (nateeintanan2527) và sự hiện diện của các điểm tương đồng ở cấp độ mã giữa Ov3r_Stealer và Phemedrone. Có thể hình dung rằng Phemedrone đã trải qua quá trình thay đổi mục đích và đổi tên thương hiệu thành Ov3r_Stealer, với điểm khác biệt chính là Phemedrone được mã hóa bằng C#.

Để củng cố mối liên kết giữa hai phần mềm độc hại đánh cắp, người ta đã quan sát thấy tác nhân đe dọa chia sẻ các báo cáo tin tức về Kẻ đánh cắp Phemedrone trên các kênh Telegram của họ để nâng cao “uy tín đường phố” cho hoạt động kinh doanh phần mềm độc hại dưới dạng dịch vụ (MaaS) của họ.

Một trong những thông báo được quan sát có nội dung: 'Kẻ đánh cắp tùy chỉnh của tôi đang gây chú ý, thể hiện khả năng lảng tránh của nó. Tôi là nhà phát triển đằng sau nó, tôi rất vui mừng ngay bây giờ.” Các tác nhân đe dọa bày tỏ sự thất vọng trước thực tế là bất chấp nỗ lực của họ để giữ mọi thứ “trong bộ nhớ”, những kẻ săn mối đe dọa vẫn cố gắng “đảo ngược toàn bộ chuỗi khai thác”.

Làm cách nào bạn có thể tránh các cuộc tấn công lừa đảo gây ra mối đe dọa phần mềm độc hại?

Việc tránh các cuộc tấn công lừa đảo mang đến mối đe dọa từ phần mềm độc hại đòi hỏi sự kết hợp giữa cảnh giác, nhận thức và áp dụng các biện pháp thực hành tốt nhất để bảo mật trực tuyến. Dưới đây là một số bước chính mà người dùng có thể thực hiện để bảo vệ bản thân khỏi trở thành nạn nhân của các cuộc tấn công lừa đảo:

• Hãy nghi ngờ những email không được yêu cầu : Tránh mở email từ những người gửi không xác định.
• Hãy thận trọng ngay cả khi email có vẻ đến từ một nguồn đã biết; xác minh địa chỉ email của người gửi nếu nghi ngờ.
• Xác minh URL và Liên kết : Di chuột qua các liên kết email để xem trước URL trước khi nhấp vào.
• Xác minh tính hợp pháp của trang web bằng cách so sánh URL trong email với địa chỉ của trang web chính thức.
• Kiểm tra nội dung email để tìm cờ đỏ : Tìm kiếm các lỗi chính tả và ngữ pháp, những lỗi này có thể cho thấy các nỗ lực lừa đảo. Hãy cảnh giác với ngôn ngữ khẩn cấp hoặc đe dọa gây áp lực buộc bạn phải hành động ngay lập tức.
• Cập nhật và sử dụng phần mềm bảo mật : Luôn cập nhật hệ điều hành, phần mềm chống phần mềm độc hại và ứng dụng của bạn. Sử dụng phần mềm bảo mật uy tín để cung cấp khả năng bảo vệ theo thời gian thực chống lại phần mềm độc hại.
• Chuẩn bị sẵn sàng và cập nhật thông tin : Luôn cập nhật về các chiến thuật lừa đảo mới nhất và các mối đe dọa từ phần mềm độc hại. Hãy tự tìm hiểu về các dấu hiệu lừa đảo phổ biến, chẳng hạn như lời chào chung chung và yêu cầu cung cấp thông tin nhạy cảm.
• Hãy thận trọng với tệp đính kèm : Tránh mở tệp đính kèm từ các nguồn không xác định hoặc không mong muốn. Chứng thực tính hợp pháp của người gửi trước khi tải xuống hoặc mở tệp đính kèm.
• Theo dõi các chiến thuật kỹ thuật xã hội : Hãy thận trọng với các yêu cầu cung cấp thông tin nhạy cảm, đặc biệt là mật khẩu hoặc chi tiết tài chính. Xác minh danh tính của các cá nhân hoặc tổ chức đưa ra các yêu cầu bất thường thông qua một kênh đáng tin cậy.

Bằng cách kết hợp những thực tiễn này vào hành vi trực tuyến của mình, bạn có thể giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo mang lại mối đe dọa phần mềm độc hại một cách đáng kể. Luôn cảnh giác và liên tục cập nhật kiến thức của bạn về các phương pháp hay nhất về an ninh mạng là rất quan trọng trong bối cảnh các mối đe dọa trực tuyến ngày càng phát triển.