Laboratoires d'araignées Trustwave’ un rapport récent a révélé l'utilisation de fausses offres d'emploi sur Facebook pour inciter les victimes à installer un nouveau logiciel malveillant basé sur Windows appelé Ov3r_Stealer..
Mode opératoire du logiciel malveillant Ov3r_Stealer
Ov3r_Stealer est un malware aux multiples facettes conçu pour voler des informations sensibles telles que les informations d'identification, portefeuilles crypto, et détails personnels provenant de systèmes compromis. Une fois installé, le malware exfiltre les données volées vers une chaîne Telegram, permettre aux acteurs malveillants de surveiller et d'exploiter les informations compromises à des fins néfastes.
Le mode opératoire de cette campagne malveillante commence par un fichier PDF militarisé se faisant passer pour un document légitime hébergé sur OneDrive.. Les utilisateurs sont invités à cliquer sur un élément intégré “Accéder au document” bouton dans le PDF, les conduisant sur un chemin périlleux de tromperie. Par la suite, les victimes sont invitées à télécharger un fichier de raccourci Internet déguisé en document DocuSign à partir du réseau de diffusion de contenu de Discord (CDN). Ce fichier de raccourci agit comme un canal pour fournir un fichier d'élément du panneau de configuration, laquelle, lorsqu'il est exécuté, déclenche l'installation d'Ov3r_Stealer via un chargeur PowerShell récupéré depuis un dépôt GitHub.
Ce qui distingue cette campagne, c'est l'utilisation de faux comptes Facebook se faisant passer pour des personnalités comme Andy Jassy, PDG d'Amazon, ainsi que des publicités Facebook trompeuses pour les emplois de publicité numérique, pour diffuser le fichier PDF malveillant. Cette tactique augmente non seulement la portée de l'attaque, mais améliore également sa crédibilité., ce qui rend plus probable que les utilisateurs peu méfiants soient victimes du système.
Ov3r_Stealer partage des similitudes avec Phhemedrone Stealer
En outre, les similitudes entre Ov3r_Stealer et un autre voleur récemment révélé appelé Phemadrone Stealer font craindre une résurgence potentielle de menaces précédemment connues. Les deux variantes de logiciels malveillants partagent des chevauchements au niveau du code et exploitent des chaînes d'infection similaires., suggérant une éventuelle réutilisation de Phhemedrone dans Ov3r_Stealer. Cela souligne l’adaptabilité et l’ingéniosité des auteurs de menaces pour reconditionner les logiciels malveillants existants afin d’échapper à la détection et de prolonger leurs activités malveillantes..
Il convient également de noter que des acteurs malveillants ont été observés tirant parti des reportages sur Phemadrone Stealer pour renforcer la crédibilité de leur malware-as-a-service. (MaaS) affaires sur les chaînes Telegram. Cela démontre un effort concerté des acteurs de la menace pour promouvoir et monétiser leurs activités illicites., exacerbant encore le paysage de la cybersécurité.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: