Az Ov3r_Stealer Malware hamis Facebook álláshirdetéseket terjeszt személyes adatok ellopása érdekében
A fenyegetőzők egy ravasz sémát dolgoztak ki a Facebookon megjelenő hamis álláshirdetésekkel, átjáróként használva őket az újonnan felfedezett, Windows-alapú, Ov3r_Stealer néven ismert, rosszindulatú kártevő betelepítésére.
Table of Contents
Megtévesztő taktika bemutatása
A modus operandi csábító állásajánlatokkal kezdődik, állítólag jó hírű cégektől, hogy gyanútlan személyeket csábítsanak el. Ezek a hirdetések arra késztetik a felhasználókat, hogy kattintsanak a fegyveres PDF-fájlokba beágyazott hivatkozásokra, és a OneDrive-on tárolt legitim dokumentumoknak álcázzák magukat.
A rosszindulatú rakomány bemutatása
Miután az áldozat rákattint a linkre, egy Discord tartalomszolgáltató hálózatra (CDN) kerül, ahol egy internetes parancsikonfájl (.URL) kerül kiszolgálásra. Ez a DocuSign dokumentumnak álcázott parancsikonfájl a vezérlőpult elem (.CPL) fájl továbbítására szolgáló csatornaként működik.
A támadás kibontakozása
Végrehajtáskor a CPL-fájl elindítja a PowerShell-betöltő letöltését a GitHub-tárolóból, amely ugródeszkaként szolgál az Ov3r_Stealer elindításához. Ezt a kifinomult rosszindulatú programot úgy tervezték, hogy rengeteg érzékeny információt lopjon el az áldozat rendszeréből.
Ov3r_Stealer's Arsenal
Amint elszabadul, az Ov3r_Stealer sokoldalú megközelítést mutat az adatok kiszűrésére. Értékes adatok széles skáláját képes gyűjteni, beleértve a hitelesítő adatokat, kriptopénztárcákat, IP-címeket, hardverinformációkat, jelszavakat, cookie-kat, hitelkártyaadatokat, böngészőbővítményeket és még a telepített víruskereső termékek listáját is.
A lehetséges következmények
Noha a kampány mögött meghúzódó pontos szándékok továbbra sem tisztázottak, az ellopott adatokat földalatti fórumokon értékesíthetik, vagy további kibertámadások elősegítésére használhatják fel. Ezenkívül az Ov3r_Stealer idővel fejlődhet, és potenciálisan kézbesítési mechanizmusként szolgálhat a pusztítóbb rakományokhoz, például a zsarolóvírusokhoz.
Éberség és védelem
Tekintettel az Ov3r_Stealer lopakodó természetére, az érintett felhasználók azonnali intézkedése elengedhetetlen. A robusztus anti-malware megoldások segíthetnek észlelni és eltávolítani ezt a fenyegetést, megóvva a rendszereket a lehetséges károktól.