Hackers δημιουργούν ψεύτικες αγγελίες εργασίας στο Facebook για να ξεγελάσουν υποψήφιους στόχους και να τους κάνουν να εγκαταστήσουν ένα νέο κακόβουλο λογισμικό κλοπής δεδομένων (info-stealer malware), με την κωδική ονομασία Ov3r_Stealer.
Σύμφωνα με την Trustwave SpiderLabs, αυτό το malware κλέβει credentials και crypto wallets και τα στέλνει σε ένα κανάλι Telegram που παρακολουθούν οι χειριστές του.
Επιπλέον, σύμφωνα με το The Hacker News “το Ov3r_Stealer συλλέγει στοιχεία τοποθεσίας βάσει διεύθυνσης IP, πληροφορίες hardware, κωδικούς πρόσβασης, cookies, πληροφορίες πιστωτικών καρτών, αυτόματη συμπλήρωση, επεκτάσεις προγράμματος περιήγησης, crypto wallets, έγγραφα του Microsoft Office και μια λίστα προϊόντων προστασίας από ιούς που είναι εγκατεστημένα στον παραβιασμένο υπολογιστή“.
Δείτε επίσης: NS-STEALER: Το info-stealer malware χρησιμοποιεί Discord bot για να κλέψει δεδομένα
Δεν γνωρίζουμε τι κάνουν οι επιτιθέμενοι με τα κλεμμένα δεδομένα, αλλά θα μπορούσαν να τα πωλούν σε άλλους παράγοντες απειλών. Επιπλέον, το Ov3r_Stealer θα μπορούσε να αποκτήσει περισσότερες δυνατότητες στο μέλλον, ώστε να λειτουργεί ως loader για πρόσθετα κακόβουλα payloads, συμπεριλαμβανομένου του ransomware.
Πώς λειτουργεί η επίθεση;
Σύμφωνα με την Trustwave, οι hackers αξιοποιούν ψεύτικες αγγελίες εργασίας στο Facebook και περιλαμβάνουν ένα κακόβουλο αρχείο PDF που υποτίθεται ότι είναι ένα αρχείο που φιλοξενείται στο OneDrive. Οι χρήστες καλούνται να κάνουν κλικ σε ένα κουμπί “Access Document” που είναι ενσωματωμένο σε αυτό.
Για παράδειγμα, αυτό το αρχείο PDF κοινοποιήθηκε από έναν ψεύτικο λογαριασμό στο Facebook που υποδύεται τον CEO της Amazon, Andy Jassy, καθώς και σε διαφημίσεις για θέσεις εργασίας στον κλάδο της ψηφιακής διαφήμισης.
Στους χρήστες που καταλήγουν να κάνουν κλικ στο κουμπί “Access Document” εμφανίζεται ένα internet shortcut (.URL) file που μεταμφιέζεται σε έγγραφο DocuSign και φιλοξενείται στο δίκτυο παράδοσης περιεχομένου (CDN) του Discord. Στη συνέχεια, το shortcut file παραδίδει ένα control panel item (.CPL) file το οποίο εκτελείται χρησιμοποιώντας το Windows Control Panel process binary (“control.exe”).
Δείτε επίσης: MacOS info-stealer malware αποφεύγουν την ανίχνευση από το XProtect
Η εκτέλεση του αρχείου CPL οδηγεί στην ανάκτηση ενός PowerShell loader
(“DATA1.txt”) από ένα GitHub repository. Έπειτα, ξεκινά η εκκίνηση του τελικού payload, που είναι το malware Ov3r_Stealer.Αξίζει να σημειωθεί ότι μια σχεδόν πανομοιότυπη αλυσίδα μόλυνσης αποκαλύφθηκε πρόσφατα από την Trend Micro, σχετικά με ένα άλλο malware κλοπής δεδομένων, που ονομάζεται Phededrone Stealer. Μάλιστα, φαίνεται να υπάρχουν και ομοιότητες στον κώδικα.
Ποιες είναι οι βέλτιστες μέθοδοι προστασίας από info stealer malware;
Η πρώτη και πιο σημαντική μέθοδος προστασίας είναι η ενημέρωση και η εκπαίδευση. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι για να διαδώσουν το malware ώστε να μπορούν να τις αναγνωρίσουν και να τις αποφύγουν.
Η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας είναι άλλη μία βασική μέθοδος προστασίας από info-stealer malware, όπως το Ov3r_Stealer. Αυτό το λογισμικό πρέπει να περιλαμβάνει antivirus, anti-spyware και anti-malware λειτουργίες, καθώς και προστασία από phishing.
Δείτε επίσης: Τα info-stealer malware στοχεύουν την online gaming κοινότητα
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές ενημερωμένες. Οι ενημερώσεις περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις τελευταίες απειλές.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να προστατεύσει τα δεδομένα σας από την κλοπή. Επίσης, η χρήση διαχειριστή κωδικών πρόσβασης μπορεί να βοηθήσει στη διαχείριση και την ασφάλεια των κωδικών πρόσβασης.
Τέλος, η προσεκτική αλληλεπίδραση με τα ηλεκτρονικά μηνύματα και τα συνημμένα αρχεία είναι ζωτικής σημασίας. Ποτέ μην ανοίγετε συνημμένα ή κάνετε κλικ σε συνδέσμους από άγνωστες πηγές.
Πηγή: thehackernews.com