Ov3r_Stealer Malware verspreidt valse Facebook-vacatures om persoonlijke gegevens te stelen
Bedreigingsactoren hebben een sluw plan bedacht met nep-vacatures op Facebook, en gebruiken deze als toegangspoort om een nieuw ontdekte Windows-gebaseerde stealer-malware in te zetten, bekend als Ov3r_Stealer.
Table of Contents
Misleidende tactieken onthuld
De modus operandi begint met verleidelijke vacatures, zogenaamd van gerenommeerde bedrijven, om nietsvermoedende individuen te lokken. Deze advertenties vragen gebruikers om op links te klikken die zijn ingebed in bewapende PDF-bestanden, die zich voordoen als legitieme documenten die worden gehost op OneDrive.
Onthulling van de kwaadaardige lading
Zodra het slachtoffer op de link klikt, wordt hij of zij doorgestuurd naar een Discord Content Delivery Network (CDN), waar een internetsnelkoppelingsbestand (.URL) wordt aangeboden. Dit snelkoppelingsbestand, vermomd als een DocuSign-document, fungeert als kanaal voor het leveren van een bestand met een configuratieschermitem (.CPL).
Het ontvouwen van de aanval
Bij uitvoering activeert het CPL-bestand het ophalen van een PowerShell-lader uit een GitHub-repository, die dient als springplank voor het starten van Ov3r_Stealer. Deze geavanceerde malware is ontworpen om een overvloed aan gevoelige informatie van het systeem van het slachtoffer te stelen.
Ov3r_Stealer's arsenaal
Eenmaal ontketend, vertoont Ov3r_Stealer een veelzijdige benadering van data-exfiltratie. Het kan een breed scala aan waardevolle gegevens verzamelen, waaronder inloggegevens, crypto-wallets, IP-adressen, hardware-informatie, wachtwoorden, cookies, creditcardgegevens, browserextensies en zelfs een lijst met geïnstalleerde antivirusproducten.
De mogelijke gevolgen
Hoewel de exacte bedoelingen achter de campagne onduidelijk blijven, kunnen de gestolen gegevens op ondergrondse forums worden verkocht of worden gebruikt om verdere cyberaanvallen mogelijk te maken. Bovendien kan Ov3r_Stealer in de loop van de tijd evolueren en mogelijk dienen als leveringsmechanisme voor meer destructieve ladingen zoals ransomware.
Waakzaamheid en verdediging
Gezien het heimelijke karakter van Ov3r_Stealer is snelle actie absoluut noodzakelijk voor getroffen gebruikers. Het gebruik van robuuste antimalwareoplossingen kan deze dreiging helpen detecteren en verwijderen, waardoor systemen tegen mogelijke schade worden beschermd.