Trustwave SpiderLabs’ un recente rapporto ha scoperto l'utilizzo di falsi annunci di lavoro su Facebook per indurre le vittime a installare un nuovo malware stealer basato su Windows chiamato Ov3r_Stealer.
Ov3r_Stealer Malware Modus Operandi
Ov3r_Stealer è un malware poliedrico progettato per rubare informazioni sensibili come le credenziali, portafogli crittografici, e dati personali da sistemi compromessi. Una volta installato, il malware esfiltra i dati rubati su un canale Telegram, consentendo agli autori delle minacce di monitorare e sfruttare le informazioni compromesse per scopi nefasti.
Il modus operandi di questa campagna dannosa inizia con un file PDF utilizzato come arma mascherato da documento legittimo ospitato su OneDrive. Agli utenti viene richiesto di fare clic su un elemento incorporato “Accedi al documento” pulsante all'interno del PDF, conducendoli lungo un insidioso sentiero di inganno. Successivamente, le vittime vengono indirizzate a scaricare un file di collegamento Internet camuffato da documento DocuSign dalla rete di distribuzione dei contenuti di Discord (CDN). Questo file di collegamento funge da canale per fornire un file di elementi del pannello di controllo, quale, quando eseguito, avvia l'installazione di Ov3r_Stealer tramite un caricatore PowerShell recuperato da un repository GitHub.
Ciò che distingue questa campagna è il suo utilizzo account Facebook falsi che si spacciano per personaggi di spicco come il CEO di Amazon Andy Jassy, nonché annunci ingannevoli su Facebook per lavori pubblicitari digitali, per diffondere il file PDF dannoso. Questa tattica non solo aumenta la portata dell'attacco ma ne aumenta anche la credibilità, rendendo più probabile che gli utenti ignari diventino vittime del sistema.
Ov3r_Stealer condivide somiglianze con Phmedrone Stealer
Inoltre, le somiglianze tra Ov3r_Stealer e un altro stealer recentemente scoperto chiamato Phmedrone Stealer sollevano preoccupazioni su una potenziale recrudescenza di minacce precedentemente note. Entrambe le varianti di malware condividono sovrapposizioni a livello di codice e sfruttano catene di infezione simili, suggerendo un possibile riutilizzo di Phmedrone in Ov3r_Stealer. Ciò sottolinea l’adattabilità e l’intraprendenza degli autori delle minacce nel riconfezionare il malware esistente per eludere il rilevamento e prolungare le loro attività dannose.
È inoltre interessante notare che gli autori delle minacce sono stati osservati sfruttare le notizie su Phmedrone Stealer per rafforzare la credibilità del loro malware-as-a-service (MAAS) affari sui canali Telegram. Ciò dimostra uno sforzo concertato da parte degli autori delle minacce per promuovere e monetizzare le loro attività illecite, aggravando ulteriormente il panorama della sicurezza informatica.