Un simplu click pe un link sau document ce pare legitim, ne poate lăsa fără bani în conturi ori putem ajunge să fim monitorizați non-stop. Este vorba despre programul malițios cunoscut sub denumirea de “Ov3r_Stealer.”
O echipă de specialiști din cadrul Directoratului Național de Securitate Cibernetică au explicat cum acționează acesta
Cum ajunge ”Ov3r_Stealer” să infecteze computerele românilor? Fură informații personale și sensibile
Acesta poate fi clasificat drept troian, deoarece se ascunde în spatele unor programe sau fișiere aparent legitime, dar, în același timp, colectează și transmite date fără consimțământul utilizatorului, transmite DNDC.
Malware-ul este conceput pentru a exfiltre anumite tipuri de date, cum ar fi: GeoLocation (pe baza IP), informații hardware, parole, cookie-uri, informații despre cardul de credit, completări automate, extensii de browser, portofele cripto, documente Office și informații despre produse antivirus.
Citește și: Atac cibernetic masiv la spitalele din România. Ce se întâmplă cu pacienții
„Acest program malware este conceput pentru a fura acreditări și portofele criptografice și pentru a le trimite către un canal Telegram pe care actorul amenințării îl monitorizează”, a spus Trustwave SpiderLabs într-un raport distribuit cu The Hacker News.
Ov3r_Stealer este capabil să sifoneze locația bazată pe adrese IP, informații despre hardware, parole, cookie-uri, informații despre cardul de credit, completări automate, extensii de browser, portofele cripto, documente Microsoft Office și o listă de produse antivirus instalate pe gazda compromisă.
Deși obiectivul final exact al campaniei este necunoscut, este probabil ca informațiile furate să fie oferite spre vânzare altor actori amenințări. O altă posibilitate este ca Ov3r_Stealer să poată fi actualizat în timp pentru a acționa ca un încărcător asemănător QakBot pentru încărcături suplimentare, inclusiv ransomware.
Punctul de pornire al atacului este un fișier PDF cu arme care se pretinde a fi un fișier găzduit pe OneDrive, îndemnând utilizatorii să facă clic pe un buton „Acces document” încorporat în acesta, mai scrie The Hacker News.
DNSC arată care sunt funcționalitățile Ov3r_Stealer
• Furtul de credențiale: poate fi utilizat pentru a fura nume de utilizator și parole salvate în browser, aplicații de mesagerie instantanee sau alte aplicații.
• Furtul de informații financiare: poate viza și colecta informații despre carduri de credit, conturi bancare și alte detalii financiare ale utilizatorului.
Citește și: Atac cibernetic. Sunt vizaţi elevii. "Nu vă mai bateţi capul cu şcoala, este o pierdere de timp"
• Monitorizarea activității utilizatorului: poate fi configurat pentru a monitoriza activitatea utilizatorului, cum ar fi site-urile web vizitate, activitatea pe rețelele sociale sau alte comportamente online.
• Efectuarea de capturi de ecran: unele versiuni pot fi capabile să înregistreze periodic sau la cerere capturi de ecran ale desktopului, ceea ce poate expune informații sensibile sau confidențiale.
• Funcții de backdoor: unele variante pot include și funcționalități de backdoor, permițând atacatorilor să aibă acces la distanță la sistemul infectat pentru a-l controla sau pentru a-l utiliza în alte atacuri.
• Efecte asupra performanței sistemului: poate avea un impact negativ asupra performanței sistemului infectat, provocând întârzieri, blocări sau alte probleme de funcționare.
• Utilizarea rețelei de botnet: unele versiuni pot fi utilizate pentru a infecta mai multe computere și a le controla ca parte a unei rețele de botnet, permițând răufăcătorilor să execute atacuri distribuite de tip denial-of-service (DDoS) sau alte activități malițioase.
• Posibilitatea de a infecta dispozitive mobile: în unele cazuri, poate fi adaptat pentru a infecta și dispozitive mobile, cum ar fi smartphone-uri și tablete, extinzând astfel sfera sa de influență.
Ov3r_Stealer nu a fost utilizat încă în campanii ample de atacuri cibernetice, acesta fiind cel mai probabil sub o continuă dezvoltare. Întrucât Phemedrone este un malware de tip open-source, cel mai probabil codul său se va regăsi pe viitor și în alte programe malițioase, nefiind exclusă apariția unor capabilități noi ale virusului, sau adaptarea acestuia pentru sisteme de operare mobile, a transmis DNSC.
Comentarii 0