Uusi romaani varastava haittaohjelma nimeltä "Ov3r_Stealer" tekee kierroksia Facebook, leviää työpaikkailmoitusten ja sosiaalisen median alustoilla olevien tilien kautta ja käyttää erilaisia toteutusmenetelmiä varastaakseen tietoja tahattomista uhreista.
Suunniteltu haittaohjelma suodattaa tutkijoiden mukaan tietyntyyppisiä tietoja, kuten maantieteellisen sijainnin (IP:n perusteella), laitteistotietoja, salasanoja, evästeitä, luottokorttitietoja, automaattisia täyttöjä, selainlaajennuksia, salauslompakoita, Office-asiakirjoja ja virustorjuntatuotetietoja. Trustwave SpiderLabsilta. Se lähettää tiedot Telegram-kanavalle, jota uhkaavat toimijat valvovat.
Tutkijat löysivät varastajan ensimmäisen kerran joulukuun alussa. He paljastivat, että se levisi Facebookin työpaikkailmoituksen kautta tilivastaavan paikasta kirjoitusta ja raportti julkaistu tällä viikolla. Myöhemmin he havaitsivat, että haittaohjelman takana olevat toimijat käyttävät myös Facebook-pohjaisia huijauksia - mukaan lukien väärennettyjen tilien luominen - haittaohjelman levittämiseen.
Lopulta mainoksen kautta toimitetut asetetut linkit johtavat haitalliseen Discord-sisällöntoimitus-URL-osoitteeseen, joka suoritti varastajan käyttämällä Windows Control Panel (CPL) -binaariksi naamioitunutta PowerShell-komentosarjaa ladatakseen haittaohjelman kolmen tiedoston muodossa GitHubista. sivusto.
Mutta mikä todella erottaa Ov3r_Stealerin muista, on useita suoritusmenetelmiä. PowerShell-vektorin lisäksi Ov3r_Stealer voidaan suorittaa myös uhrin koneella HTML-salakuljetus, SVG-kuvien salakuljetus, ja .LNK-pikakuvaketiedostot, jotka naamioituvat harmittomiksi tekstiasiakirjoiksi.
Alas kyberhyökkääjä Rabbit Hole
Kun tutkijat seurasivat varastettuja tietoja Telegramiin, he löysivät melko monimutkaisen alkuperätarinan Ov3r_Stealerin takaa, kuten haittaohjelma taustalla näyttää olevan joukko uhkatoimijoita, jotka tekevät salaliittoa useiden viestintäkanavien ja -alustojen kautta.
Tarkemmin sanottuna tutkijat paljastivat erilaisia salanimiä, viestintäkanavia ja arkistot varastetuille tiedoille, jotka sisältävät vihjeitä siitä, kuka on sen takana ja miten he toimivat.
"Aliaset, kuten 'Liu Kong', 'MR Meta', MeoBlackA ja 'John Macollan' löytyivät ryhmistä, kuten 'Pwn3rzs Chat', 'Golden Dragon Lounge', 'Data Pro' ja 'KGB Forums', joissa monet "tutkijat", uhkatekijät ja utelias ihmiset kerääntyvät, tapaavat ja vaihtavat hakkereita, haittaohjelmia ja murrettuja ohjelmistoja päivittäin", raportin mukaan.
Ei tiedetä tarkasti, kuinka hyökkääjät käyttävät tietoja sen jälkeen, kun ne on varastettu, mutta mahdollisuuksia, mukaan lukien niiden myyminen tai tietojenkalastelu. Ov3r_Stealeria voidaan käynnistää myös modulaarisella tavalla muiden haittaohjelmien tai hyväksikäytön jälkeisten työkalujen tiputtajana, mukaan lukien kiristysohjelmat, tutkijat sanoivat.
Ov3r_Stealerin erilaiset toteutusstrategiat
Kuten mainittiin, kun uhri on vaarantunut, varastaja käyttää useita ainutlaatuisia teloitusmenetelmiä; tutkijat havaitsivat yhden ja poimivat muutamia muita näytekoodista. Yksi latausohjelma käytti Windowsin CPL-tiedostoja – joita käytetään yleensä järjestelmäasetuksiin Windowsissa – PowerShell-etäkomentosarjan suorittamiseen haittaohjelman kolmen tiedoston lataamiseksi.
Toinen esimerkkitiedon osoittama tapa on HTML-salakuljetus, joka käyttää aseistautunutta HTML-tiedostoa, CustomCursor.html, lataamaan haittaohjelmatiedostot sisältävän CustomCursor.zip-tiedoston.
Kolmas suoritustapa on pikakuvaketiedoston (.LNK) kautta. Uhrille esitetään tiedosto, joka on naamioitu tyypilliseksi tekstitiedostoksi nimeltä Attitude_Reports.txt ja joka sijaitsee zip-arkistossa. Varsinainen zip-arkiston tiedosto on kuitenkin haitallinen .LNK-tiedosto nimeltä Attitude_Reports.txt.lnk. Kun se on avattu, se ohjaa uhrin GitHub-tietovarastoon, kuten CPL-lataaja tekee, lataamaan todellisen hyötykuorman.
Hyökkääjät käyttävät myös tekniikkaa nimeltä SVG salakuljetus suorittaakseen tiedoston menetelmällä, joka hyödyntää WinRAR-koodin suorittamisen haavoittuvuus (CVE-2023-38831). Tämä menetelmä toimii samalla tavalla kuin HTML-salakuljetus, paitsi että haitalliset tiedostot on upotettu vektorigrafiikkatiedostoon (SVG). Tämä ohjaa "Copyright_Report.svg"-tiedostoon, joka avattuaan upottaa ja lataa .RAR-tiedoston, joka sisältää Windowsin .LNK-pikakuvaketiedoston PowerShell-komentosarjan lataamiseksi hyötykuorman toimittamiseksi.
Lopullinen hyötykuorma toimitetaan lopulta kolmessa sisäkkäisessä tiedostossa: WerFaultSecure.exe, laillinen Windows-suoritettava tiedosto; Wer.dll, haitallinen tiedosto, jonka WerFaultSecure lataa; ja Secure.pdf, joka sisältää haitallista koodia, jonka Wer.dll lataa.
Kun haittaohjelma on suoritettu, se varmistaa pysyvyyden kopioimalla tiedostonsa C:UsersPublicLibrariesBooks-kansioon ja luomalla Windowsin ajoitetun tehtävän nimeltä "Licensing2", joka suoritetaan 90 minuutin välein jatkuvan tietojen suodattamisen varmistamiseksi.
Haittaohjelma, joka on valmis vauhtiin
Vaikka Trustwave ei ole vielä nähnyt laaja-alaisia kampanjoita, joissa käytetään tätä haittaohjelmaa, tutkijat uskovat, että se on jatkuvan kehityksen alla ja muodostaa edelleen olemassa olevan uhan. He sisällyttivät raporttiin kattavan luettelon kompromissiindikaattoreista (IoC) auttaakseen organisaatioita tunnistamaan ympäristössään olevat haittaohjelmat.
"Koska Ov3r_Stealeria on kehitetty aktiivisesti useilla lataustekniikoilla, saatamme nähdä, että tämä myydään myöhemmin tai sitä käytetään muissa kampanjoissa", raportin mukaan.
Välttääkseen kompromisseja tai lieventääkseen Ov3r_Stealerin hyökkäyksiä Trustwave suositteli, että organisaatiot ottavat käyttöön "aktiivisen ja kiinnostavan" tietoturvaohjelmat auttaa ihmisiä havaitsemaan haitalliset kampanjat sosiaalisessa mediassa ja muissa hyökkääjästrategioissa.
Organisaatioiden tulisi myös käyttää säännöllisiä sovellus- ja palveluauditointeja ja perustamisvaiheita sekä harjoitella ajantasaista sovellusten korjausta uhkien vähentämiseksi, tutkijat lisäsivät. Lisäksi niiden pitäisi jatkuvasti metsästää uhkauksia He lisäsivät kaikkialla ympäristössään poimia havaitsemattomia kompromisseja ennen kuin he ehtivät tehdä vahinkoa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/endpoint-security/novel-ov3r_stealer-spreads-facebook-steal-info
