Ov3r_Stealer adlı yeni bir kötü amaçlı yazılımın, kripto para birimi cüzdanlarını ve şifrelerini çalmayı ve ardından bunları tehdit aktörünün işlettiği bir Telegram kanalına göndermeyi amaçladığı tespit edildi.
Aralık ayının başlarında tespit edilen kötü amaçlı yazılım, bir hesap yöneticisi pozisyonuna yönelik bir Facebook reklamı aracılığıyla yayıldı.
Kullanıcı, silahlı bağlantılar yoluyla kötü amaçlı bir Discord içerik dağıtım URL’sine yönlendirildi ve bu da saldırının yürütme aşamasını tetikledi.
“Kötü amaçlı yazılım, GeoLocation (IP’ye dayalı), donanım bilgileri, şifreler, çerezler, kredi kartı bilgileri, otomatik doldurmalar, tarayıcı uzantıları, kripto cüzdanları, Office belgeleri ve antivirüs ürün bilgileri gibi belirli veri türlerini sızdırmak için tasarlandı.” SpiderLabs, Siber Güvenlik Haberleri ile paylaştı.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Şifre Çalmaya Yönelik Kötü Amaçlı Yazılım Sağlayan Facebook Reklamları
Kötü amaçlı yazılımın ilk erişimi ve iletimi için silah haline getirilmiş bir PDF dosyası kullanılır. Dosya, OneDrive’da paylaşılan bir dosyanın kimliğine bürünür. Amazon CEO’su Andy Jassy olduğu iddia edilen sahte bir Facebook profilinde basit, tıklanabilir bir OneDrive bağlantısı bulundu.
Başka bir örnek, bir Facebook reklamı aracılığıyla Dijital Reklamcılık pozisyonuna başvururken görüldü.
Facebook sayfasında “Belgeye Erişim” bağlantısı seçildiğinde .url ile biten bir dosya indirilerek bir sonraki aşamaya geçilir.
Trustwave’deki SpiderLabs, hedefe ulaşmanın daha hızlı bir yolunu buldu [.url] Facebook’ta yer alan “pembe kadın dergisi” iş ilanına PDF dosyasındaki bilgilerden yararlanarak ulaşabilirsiniz.
Kötü amaçlı yazılım, kurbanın ortamında çalıştırılan ve Windows Denetim Masası ikili dosyası gibi davranan bir Powershell betiği kullanılarak GitHub sitesinden üç dosya halinde indirildi.
Araştırmacılar, kötü amaçlı yazılım ailesi çalışması boyunca kötü amaçlı yazılımı sisteme yüklemenin ek yollarını gözlemledi. Bu yöntemler arasında HTML kaçakçılığı, SVG kaçakçılığı ve LNK dosyası maskeleme yer alıyordu.
Kötü amaçlı yazılımın üç dosyası sisteme yüklenip başlatıldıktan sonra, kötü amaçlı yazılımın her doksan dakikada bir çalışmasını sağlamak için bir kalıcılık mekanizması olarak Zamanlanmış Görev kullanılır.
Veriler alındıktan sonra tehdit aktörünün izlediği bir Telegram kanalına sızdırılıyor. Tüm bu veriler en yüksek teklifi verenin eline geçebilir veya kötü amaçlı yazılım modülerleşip daha sonra fidye yazılımına kadar ek kötü amaçlı yazılım veya istismar sonrası araçlar için bir damlalık olarak kullanılabilir.
Araştırmacılar, Phemedrone hırsızı kötü amaçlı yazılımı ile Ov3r_Stealer kötü amaçlı yazılımı arasında çarpıcı benzerlikler buldu.
Bu kötü amaçlı yazılıma ilişkin en son raporlar göz önüne alındığında, Phemedrone’un başka amaçlarla kullanılması ve Ov3r_Stealer yeni adının verilmesi mümkündür. Phemedrone, ikisi arasındaki temel ayrım olan C # ile yazılmıştır.
Ekip, tehdit aktörleri hakkında çılgınca bilgi arayışı sırasında çok sayıda takma ad, iletişim kanalı ve veri deposu keşfetti. “Liu Kong”, “MR Meta”, “MeoBlackA” ve “John Macollan” gibi takma adlar, “Pwn3rzs Chat”, “Golden Dragon Lounge”, “Data Pro” ve “KGB Forums” gibi forumlarda keşfedildi. “araştırmacıların”, tehdit aktörlerinin ve meraklıların düzenli bir araya gelmesi gerçekleşiyor.
Azaltma
- Güvenlik Farkındalığı Programlarına Katılın
- Düzenli Uygulama ve Hizmet denetimleri ve temel oluşturma
- Uygulama yaması
- Tespit edilemeyen tehlikeler için ortamlarınızda sürekli Tehdit Avcılığı yapın.