Pozor na túto Facebook reklamu! Šíri sa cez ňu vírus Ov3r_Stealer, kradne heslá, dokumenty a ďalšie citlivé údaje zo zariadenia
Výskumníci pozorovali šírenie malvéru cez Facebook reklamy, falošné účty a phishingové maily.
Bezpečnostní analyzici z Trustwave odhalili novú hackerskú kampaň malvéru Ov3r_Stealer, ktorá sa šíri platformou Facebook od decembra minulého roku. Ide o infostealer, ktorý infikoval zariadenia užívateľov cez reklamu na Facebooku a phishingové e-maily.
Ov3r_Stealer je navrhnutý tak, aby sa dokázal nabúrať do kryptopeňaženiek obetí alebo im ukradol prihlasovacie údaje, ktoré následne posiela na Telegram účet kyberzločincov. Bezpečnostní experti vysvetľujú, že taktiky a metódy šírenia malvéru nie sú novinkou, rovnako ako nie je jedinečný ani škodlivý kód. Napriek tomu je malvér Ov3r_Stealer relatívne neznámy vo sfére kyberbezpečnosti.
Útok začína jednoducho. Obeť uvidí na Facebooku falošnú pracovnú ponuku na manažérsku pozíciu. Po kliknutí na škodlivý odkaz, sa dostáva na URL platformy Discord, cez ktorú sa dostáva do zariadenia obete škodlivý obsah, čím sa začína exekučná fáza. Bezpečnostní experti upozorňujú, že sa môže malvér šíriť aj inak, napríklad prostredníctvom phishingových mailov.
Škodlivý skript Ov3r_Stealer, ktorý sa stiahne do zariadenia, sa šíri cez infikovaný PDF súbor. Ten si môže obeť stiahnuť cez odkaz na Discord, phishingový mail alebo cez podvodnú Facebook reklamu. Odporúčame preto na takúto reklamu neklikať a vyhnúť sa aj iným, podobne naformátovaným reklamám, ktoré ponúkajú výhodné pracovné ponuky.
V zariadení jednej z obetí bezpečnostní experti odhalili Powershell skript, ktorý sa maskoval za Windows Control Panel a cez ktorý sa malvér stiahne do zariadenia. Akonáhle je malvér stiahnutý a pripravený, spúšťa sa každých 90 minút.
Neprehliadnite
Po spustení malvér Ov3r_Stealer hľadá a posiela útočníkom špecifické typy dát, napríklad informácie o hardvéry, súbory cookies, uložené platobné informácie, dáta z automatického dopĺňania, heslá, dáta kryptopeňaženiek, dokumenty balíka Office a ďalšie. Po zozbieraní všetkých relevantných dát ich všetky malvér posiela na Telegram kanál, ktorý je pod správou kyberzločincov.
Malvér sa môže a pravdepodobne sa aj bude ďalej vyvíjať
Čo sa deje po útoku nie je úplne jasné. Bezpečnostní experti majú podozrenie, že všetky získané informácie kyberzločinci predávajú najvyššej ponuke. Možné je však aj to, že malvér v zariadení obete upravia tak, aby do zariadenia mohli stiahnuť ďalší malvér. Poslednou možnosťou je, že sa malvér Ov3r_Stealer premení na ransomware, teda zablokuje zariadenie a od obete vyžaduje platbu. Ak obeť nezaplatí, najčastejšie v kryptomenách, zločinec vymaže všetky súbory v zariadení.
Bezpečnostní experti ďalej pátrali po možných páchateľoch. Dopracovali sa k užívateľským menám JohnMacollan a Liu Kong. V oboch prípadoch išlo o účty spojené s Telegramovým kanálom, na ktorý malvér Ov3r_Stealer posielal ukradnuté dáta. Zároveň bezpečnostní experti odhalili aj falošný Facebook účet CEO Amazonu menom Andy Jassy.
Pri bližšom analyzovaní škodlivého kódu odborníci zistili, že Ov3r_Stealer sa veľmi podobá na iný stealer s názvom Phemedrone, ktorý bol nedávno nahlásený. Existuje teda možnosť, že kyberzločinci upravili malvér Phemedrone a premenovali ho na Ov3r_Stealer.
Bezpečnostní experti si nevšimli, že by malvér útočil vo veľkom. Zároveň však upozorňujú na to, že ide o relatívnu novinku a existuje celkom veľká pravdepodobnosť, že je malvér stále vo vývoji. Znamená to, že v blízkej budúcnosti môže zaútočiť vo väčšom merítku.
Komentáre