Το κακόβουλο λογισμικό Ov3r_Stealer διαδίδει ψεύτικες διαφημίσεις εργασίας στο Facebook για την κλοπή προσωπικών δεδομένων
Οι ηθοποιοί απειλών έχουν επινοήσει ένα πονηρό σχέδιο που περιλαμβάνει ψεύτικες διαφημίσεις εργασίας στο Facebook, χρησιμοποιώντας τις ως πύλη για την ανάπτυξη ενός πρόσφατα ανακαλυφθέντος κακόβουλου λογισμικού που βασίζεται στα Windows, γνωστό ως Ov3r_Stealer.
Table of Contents
Αποκαλύφθηκαν παραπλανητικές τακτικές
Ο τρόπος λειτουργίας ξεκινά με δελεαστικές προσφορές εργασίας, υποτίθεται από αξιόπιστες εταιρείες, για να δελεάσουν ανυποψίαστα άτομα. Αυτές οι διαφημίσεις προτρέπουν τους χρήστες να κάνουν κλικ σε συνδέσμους που είναι ενσωματωμένοι σε οπλισμένα αρχεία PDF, που μεταμφιέζονται ως νόμιμα έγγραφα που φιλοξενούνται στο OneDrive.
Αποκάλυψη του κακόβουλου ωφέλιμου φορτίου
Μόλις το θύμα κάνει κλικ στη σύνδεση, κατευθύνεται σε ένα δίκτυο παράδοσης περιεχομένου Discord (CDN), όπου εξυπηρετείται ένα αρχείο συντόμευσης στο Διαδίκτυο (.URL). Μεταμφιεσμένο ως έγγραφο DocuSign, αυτό το αρχείο συντόμευσης λειτουργεί ως αγωγός για την παράδοση ενός αρχείου στοιχείου πίνακα ελέγχου (.CPL).
Το ξεδίπλωμα της επίθεσης
Κατά την εκτέλεση, το αρχείο CPL ενεργοποιεί την ανάκτηση ενός φορτωτή PowerShell από ένα αποθετήριο GitHub, το οποίο χρησιμεύει ως εφαλτήριο για την εκκίνηση του Ov3r_Stealer. Αυτό το εξελιγμένο κακόβουλο λογισμικό έχει σχεδιαστεί για να κλέβει μια πληθώρα ευαίσθητων πληροφοριών από το σύστημα του θύματος.
Ov3r_Stealer's Arsenal
Μόλις απελευθερωθεί, το Ov3r_Stealer παρουσιάζει μια πολύπλευρη προσέγγιση για την εξαγωγή δεδομένων. Μπορεί να συλλέξει ένα ευρύ φάσμα πολύτιμων δεδομένων, συμπεριλαμβανομένων διαπιστευτηρίων, πορτοφολιών κρυπτογράφησης, διευθύνσεων IP, πληροφοριών υλικού, κωδικών πρόσβασης, cookies, στοιχείων πιστωτικής κάρτας, επεκτάσεων προγράμματος περιήγησης, ακόμη και λίστας εγκατεστημένων προϊόντων προστασίας από ιούς.
Οι Πιθανές Προκλήσεις
Αν και οι ακριβείς προθέσεις πίσω από την εκστρατεία παραμένουν ασαφείς, τα κλεμμένα δεδομένα θα μπορούσαν να πωληθούν σε υπόγεια φόρουμ ή να χρησιμοποιηθούν για τη διευκόλυνση περαιτέρω επιθέσεων στον κυβερνοχώρο. Επιπλέον, το Ov3r_Stealer μπορεί να εξελιχθεί με την πάροδο του χρόνου, λειτουργώντας ενδεχομένως ως μηχανισμός παράδοσης για πιο καταστροφικά ωφέλιμα φορτία όπως το ransomware.
Επαγρύπνηση και Άμυνα
Δεδομένης της μυστικότητας του Ov3r_Stealer, η άμεση δράση είναι επιτακτική για τους χρήστες που επηρεάζονται. Η χρήση ισχυρών λύσεων κατά του κακόβουλου λογισμικού μπορεί να βοηθήσει στον εντοπισμό και την εξάλειψη αυτής της απειλής, προστατεύοντας τα συστήματα από πιθανή βλάβη.