Ov3r_Stealer マルウェアが偽の Facebook 求人広告を拡散して個人データを盗む
脅威アクターは、Facebook 上の偽の求人広告を含む狡猾なスキームを考案し、Ov3r_Stealer として知られる新たに発見された Windows ベースのスティーラー マルウェアを展開するゲートウェイとして使用しました。
Table of Contents
欺瞞的な戦術が明らかに
その手口は、評判の高い企業からと称して、疑いを持たない個人を誘惑する魅力的な求人オファーから始まります。これらの広告は、OneDrive 上でホストされている正規のドキュメントを装って、武器化された PDF ファイル内に埋め込まれたリンクをクリックするようユーザーに促します。
悪意のあるペイロードを明らかにする
被害者がリンクをクリックすると、Discord コンテンツ配信ネットワーク (CDN) に誘導され、インターネット ショートカット ファイル (.URL) が提供されます。 DocuSign ドキュメントに見せかけたこのショートカット ファイルは、コントロール パネル アイテム (.CPL) ファイルを配信するためのパイプとして機能します。
攻撃の展開
実行すると、CPL ファイルは GitHub リポジトリからの PowerShell ローダーの取得をトリガーし、Ov3r_Stealer を起動するための出発点として機能します。この洗練されたマルウェアは、被害者のシステムから大量の機密情報を盗むように設計されています。
Ov3r_Stealer のアーセナル
Ov3r_Stealer が解き放たれると、データ漏洩に対して多面的なアプローチが示されます。資格情報、暗号通貨ウォレット、IP アドレス、ハードウェア情報、パスワード、Cookie、クレジット カードの詳細、ブラウザ拡張機能、さらにはインストールされているウイルス対策製品のリストなど、幅広い貴重なデータを収集できます。
潜在的な影響
このキャンペーンの背後にある正確な意図は不明ですが、盗まれたデータは地下フォーラムで販売されたり、さらなるサイバー攻撃を促進するために使用されたりする可能性があります。さらに、Ov3r_Stealer は時間の経過とともに進化し、ランサムウェアなどのより破壊的なペイロードの配信メカニズムとして機能する可能性があります。
警戒と防御
Ov3r_Stealer のステルス性を考慮すると、影響を受けるユーザーには迅速な対応が不可欠です。堅牢なマルウェア対策ソリューションを採用すると、この脅威を検出して除去し、潜在的な危害からシステムを保護できます。