Dikkat: Kripto ve Kimlik Bilgilerini Çalmak İçin 'Ov3r_Stealer' Yayan Sahte Facebook İş İlanları
Tehdit aktörleri, potansiyel hedefleri Ov3r_Stealer kod adlı yeni bir Windows tabanlı hırsız kötü amaçlı yazılım yüklemeleri için kandırmak için sahte Facebook iş ilanlarından yararlanıyor.
Trustwave SpiderLabs, paylaşılan bir raporda, "Bu kötü amaçlı yazılım, kimlik bilgilerini ve kripto cüzdanlarını çalmak ve bunları tehdit aktörünün izlediği bir Telegram kanalına göndermek için tasarlandı" dedi.
Ov3r_Stealer, IP adresi tabanlı konumu, donanım bilgilerini, parolaları, tanımlama bilgilerini, kredi kartı bilgilerini, otomatik doldurmaları, tarayıcı uzantılarını, kripto cüzdanlarını, Microsoft Office belgelerini ve güvenliği ihlal edilmiş ana bilgisayarda yüklü olan virüsten koruma ürünlerinin bir listesini sifonlama yeteneğine sahiptir.
Kampanyanın nihai hedefi tam olarak bilinmemekle birlikte, çalınan bilgilerin diğer tehdit aktörlerine satışa sunulması muhtemeldir. Diğer bir olasılık Ov3r_Stealer fidye yazılımı da dahil olmak üzere ek yükler için QakBot benzeri bir yükleyici görevi görecek şekilde zaman içinde güncellenebilmesidir.
Saldırının başlangıç noktası, OneDrive'da barındırılan bir dosya gibi görünen ve kullanıcıları içine gömülü bir "Belgeye Eriş" düğmesine tıklamaya teşvik eden, silahlı bir PDF dosyasıdır.
Trustwave, PDF dosyasının Amazon CEO'su Andy Jassy'nin kimliğine bürünen sahte bir Facebook hesabında ve dijital reklamcılık işleri için Facebook reklamları aracılığıyla paylaşıldığını tespit ettiğini söyledi.
Düğmeye tıklayan kullanıcılara bir internet kısayolu sunulur (. URL) Discord'un içerik dağıtım ağında (CDN) barındırılan bir DocuSign belgesi gibi görünen dosya. Kısayol dosyası daha sonra bir kontrol paneli öğesi (.CPL) dosyası sunmak için bir kanal görevi görür ve bu dosya daha sonra Windows Denetim Masası işlem ikili dosyası ("control.exe") kullanılarak yürütülür.
CPL dosyasının yürütülmesi, sonuçta Ov3r_Stealer başlatmak için bir GitHub deposundan bir PowerShell yükleyicisinin ("DATA1.txt") alınmasına yol açar.
Bu aşamada, yakın zamanda Trend Micro tarafından neredeyse aynı bir enfeksiyon zincirinin, tehdit aktörleri tarafından Microsoft Windows Defender SmartScreen atlama kusurundan yararlanarak Phemedrone Stealer adlı başka bir hırsızı düşürmek için kullanıldığının açıklandığını belirtmekte fayda var (CVE-2023-36025, CVSS puanı: 8.8).
Benzerlikler, kullanılan GitHub deposuna (nateeintanan2527) ve Ov3r_Stealer'in Phemedrone ile kod düzeyinde örtüşmesine kadar uzanıyor.
Trustwave, "Bu kötü amaçlı yazılım yakın zamanda bildirildi ve Phemedrone yeniden tasarlanmış ve Ov3r_Stealer olarak yeniden adlandırılmış olabilir" dedi. "İkisi arasındaki temel fark, Phemedrone'un C# ile yazılmış olmasıdır."
İki hırsız kötü amaçlı yazılım arasındaki bağlantıları daha da sağlamlaştıran tehdit aktörünün, hizmet olarak kötü amaçlı yazılım (MaaS) işleri için "sokak kredisi" oluşturmak amacıyla Telegram kanallarında Phemedrone Stealer hakkında yayınlanan haberleri paylaştığı gözlemlendi.
Liu Kong'un çevrimiçi takma adını kullanan tehdit aktörü, "Özel hırsızım yeni[ler]de, ne kadar kaçamak olduğunu gösteriyor, geliştiricisiyim, şimdi çok mutluyum" dedi ve aynı zamanda tehdit avcılarının her şeyin "hafızada" olmasına rağmen "tüm istismar zincirini tersine çevirmeyi" başardığı gerçeğinden duyduğu hayal kırıklığını dile getirdi.
Bulgular, Hudson Rock'ın tehdit aktörlerinin bilgi hırsızı enfeksiyonlarından elde edilen kimlik bilgilerini kullanarak Binance, Google, Meta ve TikTok gibi büyük kuruluşların kolluk kuvvetleri talep portallarına erişimlerinin reklamını yaptığını ortaya çıkarmasıyla geldi.
Ayrıca, daha sonra bilgi hırsızları, kripto madencileri, proxy botnet'leri ve fidye yazılımları için bir dağıtım mekanizması olarak hareket ederken, PrivateLoader ve SmokeLoader gibi yükleyicilere ilk erişim vektörü olarak crackli yazılımdan yararlanan CrackedCantil adlı bir enfeksiyon kategorisinin ortaya çıkışını da takip ediyorlar.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı