Roman hırsız kötü amaçlı yazılım “Ov3r_Stealer” adı verilenler ortalıkta dolaşıyor Facebook’tasosyal medya platformundaki iş ilanları ve hesaplar aracılığıyla yayılıyor ve farkında olmayan kurbanlardan tonlarca veri çalmak için çeşitli yürütme yöntemleri kullanılıyor.
Araştırmacılara göre kötü amaçlı yazılım, tasarımı gereği coğrafi konum (IP’ye dayalı), donanım bilgileri, şifreler, çerezler, kredi kartı bilgileri, otomatik doldurmalar, tarayıcı uzantıları, kripto cüzdanları, Office belgeleri ve antivirüs ürün bilgileri gibi belirli veri türlerini sızdırıyor Trustwave SpiderLabs’tan. Bilgiyi tehdit aktörleri tarafından izlenen bir Telegram kanalına gönderir.
Araştırmacılar hırsızı ilk olarak Aralık ayının başında keşfetti. Hesap yöneticisi pozisyonu için bir Facebook iş ilanı aracılığıyla yayıldığını ortaya çıkardılar bir blog yazısında Ve rapor bu hafta yayınlandı. Daha sonra, kötü amaçlı yazılımın arkasındaki aktörlerin, kötü amaçlı yazılımı yaymak için sahte hesaplar oluşturmak da dahil olmak üzere Facebook tabanlı dolandırıcılıklar kullandığını keşfettiler.
Sonunda, reklam aracılığıyla iletilen silahlı bağlantılar, kötü amaçlı bir Discord içerik dağıtım URL’sine yol açar; bu URL, hırsızı, kötü amaçlı yazılımı GitHub’dan üç dosya biçiminde indirmek için Windows Denetim Masası (CPL) ikili dosyası gibi görünen bir PowerShell komut dosyası kullanarak çalıştırır. alan.
Ancak Ov3r_Stealer’ı gerçekten farklı kılan şey, çeşitli yürütme yöntemlerine sahip olmasıdır. PowerShell vektörüne ek olarak Ov3r_Stealer kurbanın makinesinde de çalıştırılabilir. HTML kaçakçılığı, SVG resim kaçakçılığıve .LNK kısayol dosyaları zararsız metin belgeleri gibi görünüyor.
Siber Saldırganın Tavşan Deliğinden Aşağı
Araştırmacılar çalınan verileri Telegram’da takip ettikten sonra Ov3r_Stealer’ın arkasında oldukça karmaşık bir köken hikayesi buldular. kötü amaçlı yazılım Görünüşe göre arkasında birden fazla iletişim kanalı ve platform aracılığıyla komplo kuran bir dizi tehdit aktörü var.
Araştırmacılar özellikle çalınan veriler için arkasında kimin olduğuna ve nasıl çalıştıklarına dair ipuçları içeren çeşitli takma adlar, iletişim kanalları ve depolar ortaya çıkardı.
“‘Liu Kong’, ‘MR Meta’, MeoBlackA ve ‘John Macollan’ gibi takma adlar ‘Pwn3rzs Chat’, ‘Golden Dragon Lounge’, ‘Data Pro’ ve ‘KGB Forumları’ gibi gruplarda bulundu. Rapora göre ‘araştırmacılar’, tehdit aktörleri ve meraklı insanlar her gün bir araya geliyor, buluşuyor ve hack’leri, kötü amaçlı yazılımları ve crackli yazılımları paylaşıyor.”
Saldırganların verileri çalındıktan sonra tam olarak nasıl kullandıkları bilinmiyor, ancak bunların satılması veya kimlik avı amacıyla kullanılması gibi olasılıklar mevcut. Araştırmacılar, önyükleme yapmak için Ov3r_Stealer’ın fidye yazılımı da dahil olmak üzere diğer kötü amaçlı yazılımlar veya istismar sonrası araçlar için bir damlalık olarak modüler bir şekilde kullanılabileceğini söyledi.
Ov3r_Stealer’ın Çeşitli Uygulama Stratejileri
Bahsedildiği gibi, bir kurban ele geçirildiğinde hırsız birkaç benzersiz yürütme yöntemi kullanır; araştırmacılar birini gözlemledi ve örnek koddan birkaç tane daha topladı. Yükleyicilerden biri, kötü amaçlı yazılımın üç dosyasını indirmek üzere uzak bir PowerShell komut dosyasını çalıştırmak için genellikle Windows içindeki sistem ayarları için kullanılan Windows CPL dosyalarını kullandı.
Örnek verilerle gösterilen başka bir yöntem, kötü amaçlı yazılım dosyalarını içeren CustomCursor.zip dosyasını yüklemek için silah haline getirilmiş bir HTML dosyası olan CustomCursor.html’yi kullanan HTML kaçakçılığıdır.
Üçüncü bir yürütme yöntemi, bir kısayol dosyası (.LNK) aracılığıyladır. Kurbana, zip arşivinde yer alan Attitude_Reports.txt adlı tipik bir metin dosyası gibi görünen bir dosya sunulur. Ancak zip arşivindeki asıl dosya, Attitude_Reports.txt.lnk adı verilen kötü amaçlı bir .LNK dosyasıdır. Açıldıktan sonra kurbanı, gerçek yükü indirmek için CPL yükleyicisinin yaptığı gibi GitHub deposuna yönlendirecektir.
Saldırganlar ayrıca SVG kaçakçılığı adı verilen bir teknik kullanarak dosyayı, SVG’den yararlanan bir yöntemle yürütür. WinRAR Kod Yürütme Güvenlik Açığı (CVE-2023-38831). Bu yöntem, kötü amaçlı dosyaların bir vektör grafik dosyası (SVG) içine yerleştirilmesi dışında HTML kaçakçılığına benzer şekilde çalışır. Bu, açıldığında yükü teslim etmek üzere bir PowerShell betiğini indirmek için Windows .LNK kısayol dosyasını içeren bir .RAR dosyasını yerleştiren ve yükleyen bir “Copyright_Report.svg” dosyasına yönlendirir.
Bu son veri, sonuçta iç içe geçmiş üç dosya halinde teslim edilir: meşru bir Windows yürütülebilir dosyası olan WerFaultSecure.exe; WerFaultSecure’un yüklediği kötü amaçlı bir dosya olan Wer.dll; ve Wer.dll’nin yükleyeceği kötü amaçlı kodu içeren Secure.pdf.
Kötü amaçlı yazılım yürütüldüğünde, dosyalarının C:\Users\Public\Libraries\Books klasörüne kopyalanması ve sürekli veri sızıntısını sağlamak için her 90 dakikada bir çalışan “Licensing2” adlı bir Windows zamanlanmış görevinin oluşturulması yoluyla kalıcılık oluşturacaktır.
Büyük Büyümeye Hazır Bir Kötü Amaçlı Yazılım
Trustwave henüz bu kötü amaçlı yazılımın kullanıldığı geniş kapsamlı kampanyalar görmemiş olsa da araştırmacılar, bunun sürekli geliştirilme aşamasında olduğuna ve mevcut bir tehdit oluşturmaya devam ettiğine inanıyor. Kuruluşların ortamlarındaki kötü amaçlı yazılımları tanımlamasına yardımcı olmak için raporlarına kapsamlı bir güvenlik ihlali göstergeleri (IoC) listesi eklediler.
Rapora göre “Ov3r_Stealer birden fazla yükleyici tekniğiyle aktif olarak geliştirildiğinden, bunun gelecekte satıldığını veya başka kampanyalarda kullanıldığını görebiliriz.”
Trustwave, uzlaşmayı önlemek veya Ov3r_Stealer’ın saldırılarını azaltmak için kuruluşların “aktif ve ilgi çekici” uygulamaları uygulamasını tavsiye etti güvenlik farkındalığı programları İnsanların sosyal medyadaki kötü niyetli kampanyaları ve diğer saldırgan stratejilerini tespit etmelerine yardımcı olmak.
Araştırmacılar ayrıca kuruluşların tehditleri azaltmak için düzenli uygulama ve hizmet denetimleri ve temel oluşturma işlemlerinin yanı sıra güncel uygulama düzeltme eki uygulaması yapması gerektiğini de ekledi. Ayrıca sürekli olarak tehditleri avlamak hasar vermeye zamanları olmadan, tespit edilemeyen tehlikeleri tespit etmek için ortamlarında dolaştıklarını eklediler.