Ov3r_Stealer 恶意软件
威胁行为者正在利用 Facebook 上的虚假招聘广告来欺骗潜在受害者,让他们无意中安装一种名为 Ov3r_Stealer 的新的基于 Windows 的恶意软件。这种威胁软件是专门为窃取凭证和加密钱包而设计的,将收集到的数据转发到由威胁行为者监控的 Telegram 频道。
Ov3r_Stealer 具有广泛的功能,包括提取基于 IP 地址的位置、硬件信息、密码、cookie、信用卡详细信息、自动填充数据、浏览器扩展、加密钱包、Microsoft Office 文档以及已安装的安全性列表受感染主机上的产品。
尽管此次活动的最终目标尚不清楚,但所获得的信息可能会出售给其他威胁行为者。或者,Ov3r_Stealer 可能会随着时间的推移进行更新,有可能转变为类似于QakBot 的加载程序,从而促进其他有效负载(例如勒索软件)的部署。
目录
部署 Ov3r_Stealer 恶意软件的攻击链
攻击从武器化的 PDF 文件开始,错误地将自己呈现为存储在 OneDrive 上的文档。它鼓励用户单击嵌入的“访问文档”按钮。研究人员已查明此 PDF 文件是通过冒充亚马逊首席执行官安迪·贾西 (Andy Jassy) 的欺骗性 Facebook 帐户以及数字广告职位的欺诈性 Facebook 广告传播的。
单击该按钮后,用户会收到一个伪装成托管在 Discord 内容交付网络 (CDN) 上的 DocuSign 文档的互联网快捷方式 (.URL) 文件。此快捷方式文件用作传递控制面板项 (.CPL) 文件的途径,然后使用 Windows 控制面板进程二进制文件(“control.exe”)执行该文件。
执行 CPL 文件会启动从 GitHub 存储库检索 PowerShell 加载程序(“DATA1.txt”),最终导致 Ov3r_Stealer 的启动。
Ov3r_Stealer 与其他恶意软件威胁之间的相似之处
网络安全研究人员强调,威胁行为者利用 Microsoft Windows Defender SmartScreen 绕过漏洞(CVE-2023-36025,CVSS 评分:8.8),利用几乎相同的感染链来部署另一个名为 Phemedrone Stealer 的窃取程序。随着 GitHub 存储库 (nateeintanan2527) 的利用以及 Ov3r_Stealer 和 Phemedrone 之间代码级相似性的存在,这种相似性进一步扩大。可以想象,Phemedrone 已经被重新利用并重新命名为 Ov3r_Stealer,主要区别在于 Phemedrone 是用 C# 编码的。
为了加强这两种窃取恶意软件之间的联系,据观察,威胁行为者在其 Telegram 频道上分享有关 Phemedrone Stealer 的新闻报道,以增强其恶意软件即服务 (MaaS) 业务的“街头信誉”。
其中一条消息写道:“我的定制窃贼正在成为头条新闻,展示了它的闪烁其辞。我是它背后的开发者,现在非常兴奋。”威胁行为者对以下事实表示沮丧:尽管他们努力将所有内容保留在“记忆中”,但威胁猎手却设法“扭转了整个漏洞利用链”。
如何避免带来恶意软件威胁的网络钓鱼攻击?
避免带来恶意软件威胁的网络钓鱼攻击需要保持警惕、提高认识并采用在线安全最佳实践。以下是用户可以采取的一些关键步骤,以防止自己成为网络钓鱼攻击的受害者:
- 对未经请求的电子邮件持怀疑态度:避免打开来自未知发件人的电子邮件。
- 即使电子邮件似乎来自已知来源,也要小心谨慎;如有疑问,请验证发件人的电子邮件地址。
- 验证 URL 和链接:将鼠标悬停在电子邮件链接上以在单击之前预览 URL。
- 通过将电子邮件中的 URL 与官方网站的地址进行比较来验证网站的合法性。
- 检查电子邮件内容是否存在危险信号:查找拼写和语法错误,这可能表明网络钓鱼企图。警惕那些迫使您立即采取行动的紧急或威胁性语言。
- 更新和使用安全软件:使您的操作系统、反恶意软件软件和应用程序保持最新状态。使用信誉良好的安全软件提供针对恶意软件的实时保护。
- 做好准备并随时了解情况:随时了解最新的网络钓鱼策略和恶意软件威胁。了解常见的网络钓鱼指标,例如通用问候语和敏感信息请求。
- 谨慎对待附件:避免打开未知或意外来源的附件。下载或打开附件之前确认发件人的合法性。
- 留意社会工程策略:谨慎对待敏感信息的请求,尤其是密码或财务详细信息。验证通过可信渠道提出异常请求的个人或组织的身份。
通过将这些做法融入到您的在线行为中,您可以显着降低成为传播恶意软件威胁的网络钓鱼攻击受害者的风险。在不断变化的在线威胁环境中,保持警惕并不断更新有关网络安全最佳实践的知识至关重要。
