トラストウェーブ スパイダーラボ’ 最近のレポートでは、被害者を誘導して Ov3r_Stealer と呼ばれる新しい Windows ベースのスティーラー マルウェアをインストールさせるために、偽の Facebook 求人広告が使用されていることが明らかになりました。.
Ov3r_Stealer マルウェアの手口
Ov3r_Stealer は、資格情報などの機密情報を盗むように設計された多面的なマルウェアです, 暗号ウォレット, と 個人情報 侵害されたシステムから. インストールしたら, マルウェアは盗んだデータを Telegram チャネルに流出させます, 脅威アクターが侵害された情報を監視し、不正な目的で悪用できるようにする.
この悪意のあるキャンペーンの手口は、OneDrive にホストされている正規のドキュメントを装った武器化された PDF ファイルから始まります。. ユーザーは埋め込まれたアイコンをクリックするように求められます。 “ドキュメントにアクセスする” PDF内のボタン, 彼らを欺瞞の危険な道に導く. 続いて, 被害者は、Discord のコンテンツ配信ネットワークから DocuSign 文書を装ったインターネット ショートカット ファイルをダウンロードするよう指示されます。 (CDN). このショートカット ファイルは、コントロール パネル項目ファイルを配信するためのパイプとして機能します。, どれの, 実行時, GitHub リポジトリから取得した PowerShell ローダーを介して Ov3r_Stealer のインストールをトリガーします.
このキャンペーンの特徴は、 著名人になりすました偽の Facebook アカウント Amazon CEOのアンディ・ジャシーのように, デジタル広告の仕事に関する欺瞞的な Facebook 広告と同様に, 悪意のある PDF ファイルを広めるため. この戦術は攻撃範囲を広げるだけでなく、その信憑性も高めます。, 疑いを持たないユーザーがこのスキームの被害に遭う可能性が高くなります。.
Ov3r_Stealer は Phemdrone Stealer と類似点を共有します
さらに, Ov3r_Stealer と、Phemedrone Stealer と呼ばれる最近公開された別のスティーラーとの類似点により、以前に知られていた脅威が再び復活する可能性があるという懸念が生じています. どちらのマルウェア亜種もコードレベルで重複しており、同様の感染チェーンを悪用します。, Phemedrone を Ov3r_Stealer に再利用する可能性を示唆. これは、既存のマルウェアを再パッケージ化して検出を回避し、悪意のある活動を長期化させる脅威アクターの適応力と機知に富んでいることを浮き彫りにしています。.
また、脅威アクターがサービスとしてのマルウェアの信頼性を高めるために、Phemedrone Stealer に関するニュースレポートを利用していることが観察されていることも注目に値します。 (MaaS) Telegram チャネルでのビジネス. これは、違法行為を促進し、収益化するために脅威アクターが協力して取り組んでいることを示しています。, サイバーセキュリティ環境をさらに悪化させる.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: