Trustwave SpiderLabs’ Uit een recent rapport is gebleken dat valse Facebook-vacatures worden gebruikt om slachtoffers ertoe te verleiden een nieuwe op Windows gebaseerde stealer-malware te installeren, genaamd Ov3r_Stealer.
Ov3r_Stealer Malware Modus Operandi
Ov3r_Stealer is een veelzijdige malware die is ontworpen om gevoelige informatie zoals inloggegevens te stelen, crypto-portefeuilles, en persoonlijke gegevens van gecompromitteerde systemen. Eenmaal geïnstalleerd, de malware exfiltreert de gestolen gegevens naar een Telegram-kanaal, waardoor bedreigingsactoren de gecompromitteerde informatie voor snode doeleinden kunnen monitoren en exploiteren.
De modus operandi van deze kwaadaardige campagne begint met een bewapend PDF-bestand dat zich voordoet als een legitiem document dat wordt gehost op OneDrive. Gebruikers wordt gevraagd op een ingesloten bestand te klikken “Toegangsdocument” knop in de PDF, hen op een verraderlijk pad van bedrog leiden. Hierop volgend, De slachtoffers wordt gevraagd een internetsnelkoppelingsbestand, vermomd als een DocuSign-document, te downloaden van het contentleveringsnetwerk van Discord (CDN). Dit snelkoppelingsbestand fungeert als kanaal voor het leveren van een itembestand voor het bedieningspaneel, die, wanneer het wordt uitgevoerd, activeert de installatie van Ov3r_Stealer via een PowerShell-lader opgehaald uit een GitHub-repository.
Wat deze campagne onderscheidt, is het gebruik ervan valse Facebook-accounts die zich voordoen als prominente figuren zoals Amazon-CEO Andy Jassy, evenals misleidende Facebook-advertenties voor digitale advertentiefuncties, om het kwaadaardige PDF-bestand te verspreiden. Deze tactiek vergroot niet alleen het bereik van de aanval, maar vergroot ook de geloofwaardigheid ervan, waardoor het waarschijnlijker wordt dat nietsvermoedende gebruikers het slachtoffer worden van de regeling.
Ov3r_Stealer deelt overeenkomsten met Phemedrone Stealer
Bovendien, de overeenkomsten tussen Ov3r_Stealer en een andere onlangs onthulde stealer genaamd Phemedrone Stealer doen zorgen rijzen over een mogelijke heropleving van eerder bekende bedreigingen. Beide malwarevarianten delen overlap op codeniveau en maken misbruik van soortgelijke infectieketens, wat een mogelijke herbestemming van Phemedrone in Ov3r_Stealer suggereert. Dit onderstreept het aanpassingsvermogen en de vindingrijkheid van bedreigingsactoren bij het herverpakken van bestaande malware om detectie te omzeilen en hun kwaadaardige activiteiten te verlengen.
Het is ook opmerkelijk dat er is waargenomen dat bedreigingsactoren nieuwsberichten over Phemedrone Stealer gebruiken om de geloofwaardigheid van hun malware-as-a-service te versterken. (MAAS) zaken op Telegram-kanalen. Dit getuigt van een gezamenlijke inspanning van dreigingsactoren om hun illegale activiteiten te promoten en er geld mee te verdienen, waardoor het cyberbeveiligingslandschap nog verder verslechtert.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: