Ov3r_Stealer 惡意軟體
威脅行為者正在利用 Facebook 上的虛假招聘廣告來欺騙潛在受害者,讓他們無意中安裝一種名為 Ov3r_Stealer 的新的基於 Windows 的惡意軟體。這種威脅軟體是專門為竊取憑證和加密錢包而設計的,將收集到的資料轉發到由威脅行為者監控的 Telegram 頻道。
Ov3r_Stealer 具有廣泛的功能,包括提取基於 IP 位址的位置、硬體資訊、密碼、cookie、信用卡詳細資訊、自動填入資料、瀏覽器擴充功能、加密錢包、Microsoft Office 文件以及已安裝的安全性清單受感染主機上的產品。
儘管活動的最終目標尚不清楚,但所獲得的資訊可能會出售給其他威脅行為者。或者,Ov3r_Stealer 可能會隨著時間的推移進行更新,有可能轉變為類似於QakBot 的載入程序,從而促進其他有效負載(例如勒索軟體)的部署。
目錄
部署 Ov3r_Stealer 惡意軟體的攻擊鏈
攻擊從武器化的 PDF 檔案開始,錯誤地將自己呈現為儲存在 OneDrive 上的文件。它鼓勵用戶單擊嵌入的“訪問文件”按鈕。研究人員已查明此 PDF 文件是透過冒充亞馬遜執行長安迪賈西 (Andy Jassy) 的欺騙性 Facebook 帳戶以及數位廣告職位的欺詐性 Facebook 廣告傳播的。
點擊該按鈕後,使用者會收到一個偽裝成託管在 Discord 內容交付網路 (CDN) 上的 DocuSign 文件的網路捷徑 (.URL) 檔案。此捷徑檔案用作傳遞控制台項目 (.CPL) 檔案的途徑,然後使用 Windows 控制台進程二進位檔案(「control.exe」)執行該檔案。
執行 CPL 檔案會啟動從 GitHub 儲存庫擷取 PowerShell 載入程式(「DATA1.txt」),最終導致 Ov3r_Stealer 的啟動。
Ov3r_Stealer 與其他惡意軟體威脅之間的相似之處
網路安全研究人員強調,威脅行為者利用 Microsoft Windows Defender SmartScreen 繞過漏洞(CVE-2023-36025,CVSS 評分:8.8),利用幾乎相同的感染鏈來部署另一個名為 Phemedrone Stealer 的竊取程式。隨著 GitHub 儲存庫 (nateeintanan2527) 的利用以及 Ov3r_Stealer 和 Phemedrone 之間程式碼級相似性的存在,這種相似性進一步擴大。可以想像,Phemedrone 已經被重新利用並重新命名為 Ov3r_Stealer,主要區別在於 Phemedrone 是用 C# 編碼的。
為了加強這兩種竊取惡意軟體之間的聯繫,據觀察,威脅行為者在其 Telegram 頻道上分享有關 Phemedrone Stealer 的新聞報道,以增強其惡意軟體即服務 (MaaS) 業務的「街頭信譽」。
其中一則訊息寫道:「我的客製化竊賊正在成為頭條新聞,展示了它的閃爍其辭。我是它背後的開發者,現在非常興奮。”威脅行為者對以下事實表示沮喪:儘管他們努力將所有內容保留在“記憶中”,但威脅獵手卻設法“扭轉了整個漏洞利用鏈”。
如何避免帶來惡意軟體威脅的網路釣魚攻擊?
避免帶來惡意軟體威脅的網路釣魚攻擊需要保持警惕、提高意識並採用線上安全最佳實踐。以下是用戶可以採取的一些關鍵步驟,以防止自己成為網路釣魚攻擊的受害者:
- 對未經請求的電子郵件持懷疑態度:避免開啟來自未知寄件者的電子郵件。
- 即使電子郵件似乎來自已知來源,也要小心謹慎;如有疑問,請驗證寄件者的電子郵件地址。
- 驗證 URL 和連結:將滑鼠懸停在電子郵件連結上以在單擊之前預覽 URL。
- 透過將電子郵件中的 URL 與官方網站的地址進行比較來驗證網站的合法性。
- 檢查電子郵件內容是否有危險訊號:尋找拼字和文法錯誤,這可能表示網路釣魚企圖。警惕那些迫使您立即採取行動的緊急或威脅性語言。
- 更新和使用安全軟體:讓您的作業系統、反惡意軟體軟體和應用程式保持最新狀態。使用信譽良好的安全軟體提供針對惡意軟體的即時保護。
- 做好準備並隨時了解情況:隨時了解最新的網路釣魚策略和惡意軟體威脅。了解常見的網路釣魚指標,例如通用問候語和敏感資訊請求。
- 謹慎對待附件:避免開啟未知或意外來源的附件。下載或開啟附件之前確認寄件者的合法性。
- 留意社會工程策略:謹慎對待敏感資訊的請求,尤其是密碼或財務詳細資訊。驗證透過可信任管道提出異常請求的個人或組織的身份。
透過將這些做法融入您的線上行為中,您可以大幅降低成為傳播惡意軟體威脅的網路釣魚攻擊受害者的風險。在不斷變化的線上威脅環境中,保持警惕並不斷更新網路安全最佳實踐的知識至關重要。
