![Sahte Facebook İş Reklamları ‘Ov3r_Stealer’ı Kripto ve Kimlik Bilgilerini Çalmak İçin Yayıyor](https://kilalu.blog/news/2024-07-30-18:46/Sahte Facebook İş Reklamları ‘Ov3r_Stealer’ı Kripto ve Kimlik Bilgilerini Çalmak İçin Yayıyor.jpg)
06 Şubat 2024Haber odasıSosyal Mühendislik / Kötü Amaçlı Reklamcılık
Tehdit aktörleri, olası hedefleri kandırıp kod adı yeni Windows tabanlı hırsız kötü amaçlı yazılım yüklemeleri için sahte Facebook iş ilanlarından yararlanıyor. Ov3r_Stealer.
Trustwave SpiderLabs, “Bu kötü amaçlı yazılım, kimlik bilgilerini ve kripto cüzdanlarını çalmak ve bunları tehdit aktörünün izlediği bir Telegram kanalına göndermek için tasarlandı.” söz konusu The Hacker News ile paylaşılan bir raporda.
Ov3r_Stealer, IP adresi tabanlı konumu, donanım bilgilerini, şifreleri, çerezleri, kredi kartı bilgilerini, otomatik doldurmaları, tarayıcı uzantılarını, kripto cüzdanlarını, Microsoft Office belgelerini ve ele geçirilen ana bilgisayarda yüklü antivirüs ürünlerinin bir listesini çekme yeteneğine sahiptir.
Kampanyanın kesin nihai hedefi bilinmemekle birlikte, çalınan bilgilerin diğer tehdit aktörlerine satışa sunulması muhtemel. Diğer bir olasılık da Ov3r_Stealer’ın zaman içinde güncellenerek bir QakBot benzeri yükleyici Fidye yazılımı da dahil olmak üzere ek yükler için.
Saldırının başlangıç noktası, OneDrive’da barındırılan bir dosya olduğu iddia edilen, kullanıcıları içine gömülü “Belgeye Eriş” düğmesini tıklamaya teşvik eden silahlı bir PDF dosyasıdır.
Trustwave, PDF dosyasının Amazon CEO’su Andy Jassy’nin kimliğine bürünen sahte bir Facebook hesabında ve dijital reklamcılık işleri için Facebook reklamları aracılığıyla paylaşıldığını tespit ettiğini söyledi.
Düğmeye tıklayan kullanıcılara, Discord’un içerik dağıtım ağında (CDN) barındırılan bir DocuSign belgesi gibi görünen bir internet kısayolu (.URL) dosyası sunulur. Kısayol dosyası daha sonra bir kontrol paneli öğesi (.CPL) dosyası iletmek için bir kanal görevi görür ve bu dosya daha sonra Windows Denetim Masası işlem ikili programı kullanılarak yürütülür (“control.exe“).
CPL dosyasının yürütülmesi, sonuçta Ov3r_Stealer’ı başlatmak için GitHub deposundan bir PowerShell yükleyicisinin (“DATA1.txt”) alınmasına yol açar.
![Facebook İş İlanları Facebook İş İlanları](https://teknomers.com/wp-content/uploads/2024/02/1707248407_379_Sahte-Facebook-Is-Reklamlari-Ov3r_Stealeri-Kripto-ve-Kimlik-Bilgilerini-Calmak.jpg)
Bu aşamada, neredeyse aynı bir enfeksiyon zincirinin yakın zamanda Trend Micro tarafından tehdit aktörleri tarafından Microsoft Windows Defender SmartScreen atlama kusurundan (CVE-2023-36025, CVE-2023-36025, CVSS puanı: 8.8).
Benzerlikler, kullanılan GitHub deposuna (nateeintanan2527) ve Ov3r_Stealer’ın Phemedrone ile kod düzeyinde örtüşmeleri paylaştığı gerçeğine kadar uzanır.
Trustwave, “Bu kötü amaçlı yazılım yakın zamanda rapor edildi ve Phemedrone’un başka bir amaçla kullanılması ve Ov3r_Stealer olarak yeniden adlandırılması olabilir” dedi. “İkisi arasındaki temel fark Phemedrone’un C# ile yazılmış olmasıdır.”
Bulgular, Hudson Rock’ın tehdit aktörlerinin aşağıdaki gibi büyük kuruluşların kolluk kuvveti talep portallarına erişimlerinin reklamını yaptığını ortaya çıkarmasıyla geldi. Binance, Google, Meta ve TikTok Bilgi hırsızı enfeksiyonlarından elde edilen kimlik bilgilerinden yararlanarak.
Ayrıca, adı verilen bir enfeksiyon kategorisinin ortaya çıkışını da takip ediyorlar. KırıkKantil PrivateLoader ve SmokeLoader gibi yükleyicileri bırakmak için ilk erişim vektörü olarak kırılmış yazılımlardan yararlanan, daha sonra bilgi çalanlara, kripto madencilerine, proxy botnet’lere ve fidye yazılımlarına yönelik bir dağıtım mekanizması görevi gören.
Popular Articles
- 20 Jul Meteorolojiden bu illere toz taşınımı uyarısı
- 19 Aug Çocukken Gerçekten Var Olduğunu Düşünüp Şuursuzca Korktuğumuz 21 Masum Yalan
- 26 Jul Terk Edilmiş Köpeği Sokaktan Kurtaran Güzel İnsanlar
- 10 Jul YouTubeda Ücretsiz İzleyebileceğiniz 21 Türk Filmi
- 14 Aug Gözenek Görüntüsüne Veda Edin! En İyi Gözenek Maskeleri
Latest Articles
- 26 Jul Ekiplerinizin üretkenliğini nasıl artırabilirsiniz?
- 16 Jul Turkcell’deki Gelişmeler Yatırımcının Cebinde
- 11 Jul Üç Arka Kameralı ve Çift Ekranlı Vivo Nex S2, Gizemli Kutu Açılış Videosunda Ortaya Çıktı
- 11 Aug GTA 6nın E3 2019da Duyurulabileceği İddia Edildi
- 20 Jul Apple Intelligence’ın lansmanda Google Gemini entegrasyonunu ve ChatGPT’yi sunması bekleniyor
Other Articles
- Tuncelide kamu çalışanlarına toplu faaliyet kısıtlaması
- Yaratıcılar: Stranger Things 4. Sezon Game Of Thrones Gibidir
- Acun Ilıcalı’nın vekil amcası balık dağıttı
- Kullanıcılarına daha iyi bir mobil deneyim yaşatmak isteyen GoDaddy, M.dot isimli şirketi satın aldı
- Mutfağımız hakkıyla temsil edilince...