Trustwave SpiderLabs’ Ein aktueller Bericht deckte die Verwendung gefälschter Facebook-Stellenanzeigen auf, um Opfer zur Installation einer neuen Windows-basierten Stealer-Malware namens Ov3r_Stealer zu verleiten.
Ov3r_Stealer Malware-Betriebsmodus
Ov3r_Stealer ist eine vielseitige Malware, die darauf ausgelegt ist, vertrauliche Informationen wie Anmeldeinformationen zu stehlen, Krypto-Wallets, und persönliche Daten von kompromittierten Systemen. Einmal installiert, Die Malware exfiltriert die gestohlenen Daten an einen Telegram-Kanal, Dadurch können Bedrohungsakteure die kompromittierten Informationen überwachen und für schändliche Zwecke ausnutzen.
Die Vorgehensweise dieser bösartigen Kampagne beginnt mit einer waffenfähigen PDF-Datei, die sich als legitimes Dokument ausgibt, das auf OneDrive gehostet wird. Benutzer werden aufgefordert, auf ein eingebettetes Element zu klicken “Zugriffsdokument” Schaltfläche im PDF, führt sie auf einen tückischen Weg der Täuschung. Anschließend, Opfer werden angewiesen, eine als DocuSign-Dokument getarnte Internet-Verknüpfungsdatei vom Content-Delivery-Netzwerk von Discord herunterzuladen (CDN). Diese Verknüpfungsdatei dient als Kanal zur Bereitstellung einer Bedienfeldelementdatei, was, wenn sie ausgeführt, löst die Installation von Ov3r_Stealer über einen PowerShell-Loader aus, der aus einem GitHub-Repository abgerufen wird.
Das Besondere an dieser Kampagne ist die Verwendung von gefälschte Facebook-Konten, die sich als prominente Persönlichkeiten ausgeben wie Amazon-Chef Andy Jassy, sowie irreführende Facebook-Anzeigen für digitale Werbejobs, um die schädliche PDF-Datei zu verbreiten. Diese Taktik erhöht nicht nur die Reichweite des Angriffs, sondern erhöht auch seine Glaubwürdigkeit, Dies erhöht die Wahrscheinlichkeit, dass ahnungslose Benutzer Opfer des Betrugs werden.
Ov3r_Stealer hat Ähnlichkeiten mit Phemedrone Stealer
Weiter, Die Ähnlichkeiten zwischen Ov3r_Stealer und einem anderen kürzlich bekannt gewordenen Stealer namens Phemedrone Stealer geben Anlass zur Sorge über ein mögliches Wiederaufleben zuvor bekannter Bedrohungen. Beide Malware-Varianten weisen Überschneidungen auf Codeebene auf und nutzen ähnliche Infektionsketten aus, was eine mögliche Umwidmung von Phemedrone in Ov3r_Stealer vorschlägt. Dies unterstreicht die Anpassungsfähigkeit und den Einfallsreichtum von Bedrohungsakteuren bei der Neuverpackung vorhandener Malware, um der Erkennung zu entgehen und ihre böswilligen Aktivitäten zu verlängern.
Bemerkenswert ist auch, dass Bedrohungsakteure beobachtet wurden, die Nachrichtenberichte über Phemedrone Stealer nutzten, um die Glaubwürdigkeit ihrer Malware-as-a-Service zu stärken (MaaS) Geschäft auf Telegram-Kanälen. Dies zeigt die konzertierten Bemühungen der Bedrohungsakteure, ihre illegalen Aktivitäten zu fördern und zu monetarisieren, was die Cybersicherheitslandschaft weiter verschärft.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: