Trustwave SpiderLabs’ en nylig rapport afslørede brugen af falske Facebook-jobannoncer for at lokke ofre til at installere en ny Windows-baseret tyveri-malware kaldet Ov3r_Stealer.
Ov3r_Stealer Malware Modus Operandi
Ov3r_Stealer er en mangefacetteret malware designet til at stjæle følsomme oplysninger såsom legitimationsoplysninger, krypto tegnebøger, og personlige detaljer fra kompromitterede systemer. Når det er installeret, malwaren eksfiltrerer de stjålne data til en Telegram-kanal, giver trusselsaktører mulighed for at overvåge og udnytte de kompromitterede oplysninger til ondsindede formål.
Modus operandi for denne ondsindede kampagne begynder med en våbenbeskyttet PDF-fil, der forklæder sig som et legitimt dokument hostet på OneDrive. Brugere bliver bedt om at klikke på en integreret “Adgang til dokument” knappen i PDF'en, fører dem ned ad en forræderisk vej af bedrag. Efterfølgende, ofre bliver bedt om at downloade en internetgenvejsfil forklædt som et DocuSign-dokument fra Discords indholdsleveringsnetværk (CDN). Denne genvejsfil fungerer som en kanal til at levere en kontrolpanelelementfil, hvilken, når henrettet, udløser installationen af Ov3r_Stealer via en PowerShell-indlæser hentet fra et GitHub-lager.
Det, der adskiller denne kampagne, er dens udnyttelse af falske Facebook-konti, der efterligner prominente personer ligesom Amazon CEO Andy Jassy, samt vildledende Facebook-annoncer for digitale annoncejob, for at sprede den ondsindede PDF-fil. Denne taktik øger ikke kun rækkevidden af angrebet, men øger også dets troværdighed, gør det mere sandsynligt for intetanende brugere at blive ofre for ordningen.
Ov3r_Stealer deler ligheder med Phemedrone Stealer
Endvidere, lighederne mellem Ov3r_Stealer og en anden nyligt afsløret stjæler kaldet Phemedrone Stealer giver anledning til bekymring for en potentiel genopblussen af tidligere kendte trusler. Begge malware-varianter deler overlapninger på kodeniveau og udnytter lignende infektionskæder, foreslår en mulig genanvendelse af Phemedrone til Ov3r_Stealer. Dette understreger trusselsaktørernes tilpasningsevne og opfindsomhed ved ompakning af eksisterende malware for at undgå opdagelse og forlænge deres ondsindede aktiviteter.
Det er også bemærkelsesværdigt, at trusselsaktører er blevet observeret ved at udnytte nyhedsrapporter om Phemedrone Stealer for at styrke troværdigheden af deres malware-as-a-service (Maas) forretning på Telegram-kanaler. Dette viser en samordnet indsats fra trusselsaktører for at fremme og tjene penge på deres ulovlige aktiviteter, yderligere forværre cybersikkerhedslandskabet.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: