Ov3r_Stealer: ваши пароли, крипта и данные – всё в руках хакеров

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Рекламные объявления на Facebook* снова замешаны в распространении вредоносного ПО.

В новом отчёте компании Trustwave была обнаружена продвинутая кампания по распространению мощного вредоносного программного обеспечения, целью которого является кража данных с заражённых компьютеров.

Схема атаки начинается с рекламного объявления на Facebook *, ведущего к PDF-файлу на OneDrive, который якобы содержит детали вакансии. Однако при попытке открыть файл пользователя перенаправляют на загрузку файла с названием «pdf2.cpl», размещённого в сети Discord.

Этот файл представлен как документ DocuSign, но на самом деле является PowerShell-полезной нагрузкой, использующей файл управления Windows для выполнения.

Trustwave выделила четыре основных метода загрузки вредоносного ПО. Итак, заражение происходит через:

  • CPL-файлы благодаря удалённым сценариям PowerShell;
  • HTML-файлы методом HTML Smuggling для внедрения зашифрованных ZIP-файлов с зловредным содержимым;
  • LNK-файлы (ярлыки Windows), маскирующиеся под текстовые файлы;
  • SVG-файлы с встроенными RAR-архивами.

Финальная полезная нагрузка состоит из трёх файлов: легитимного исполняемого файла Windows (WerFaultSecure.exe), DLL для загрузки библиотек посредством DLL Sideloading (Wer.dll) и документа с вредоносным кодом (Secure.pdf).

Забудь про блокировки! VPN через Телеграмм-бот для России!

После выполнения вредоносное ПО устанавливает постоянство в заражённой системе, добавляя задачу в планировщик заданий под названием «Licensing2», которая запускается каждые 90 минут.

Ov3r_Stealer направлен на кражу данных из широкого спектра приложений, включая криптовалютные кошельки, веб-браузеры, расширения браузеров, Discord, Filezilla и многие другие, а также исследует конфигурацию системных служб в реестре Windows, вероятно, для идентификации потенциальных целей.

Краденая информация отправляется боту в Telegram каждые 90 минут, включая геолокационные данные жертвы и сводку по украденным данным. Trustwave обнаружила связь между каналом эксфильтрации в Telegram и определёнными именами пользователей, участвующими в форумах, связанных со взломом программного обеспечения.

  От сосулек к спасению жизней: как лед изменит будущее трансплантации органов

Кроме того, исследователи отмечают сходство кода Ov3r_Stealer с вредоносным ПО на C# под названием Phemedrone, что может указывать на использование последнего в качестве основы для нового вируса.

В демонстрационных видеороликах, возможно, показывающих работу вредоносного ПО, злоумышленники использовали вьетнамский и русский языки, а также флаг Франции, что не даёт однозначно определить национальность злоумышленников. Возможно, они намеренно пытались затруднить свою атрибуцию.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.