Złośliwe oprogramowanie Ov3r_Stealer rozprzestrzenia fałszywe ogłoszenia o pracę na Facebooku w celu kradzieży danych osobowych
Przestępcy obmyślili sprytny schemat wykorzystujący fałszywe ogłoszenia o pracę na Facebooku i wykorzystując je jako bramę do wdrożenia nowo odkrytego szkodliwego oprogramowania kradnącego dla systemu Windows, znanego jako Ov3r_Stealer.
Table of Contents
Ujawniono zwodniczą taktykę
Sposób działania zaczyna się od kuszenia ofert pracy rzekomo od renomowanych firm, aby zwabić niczego niepodejrzewające osoby. Reklamy te namawiają użytkowników do klikania łączy osadzonych w uzbrojonych plikach PDF, udających legalne dokumenty przechowywane w usłudze OneDrive.
Odsłonięcie złośliwego ładunku
Gdy ofiara kliknie łącze, zostaje przekierowana do sieci dostarczania treści Discord (CDN), gdzie udostępniany jest plik skrótu internetowego (.URL). Ten plik skrótu, podszywający się pod dokument DocuSign, działa jako kanał umożliwiający dostarczenie pliku elementu panelu sterowania (.CPL).
Rozwój ataku
Po wykonaniu plik CPL wyzwala pobieranie modułu ładującego PowerShell z repozytorium GitHub, który służy jako odskocznia do uruchomienia Ov3r_Stealer. Celem tego wyrafinowanego szkodliwego oprogramowania jest kradzież mnóstwa poufnych informacji z systemu ofiary.
Ov3r_Arsenał Złodzieja
Po uwolnieniu Ov3r_Stealer wykazuje wieloaspektowe podejście do eksfiltracji danych. Może zbierać szeroką gamę cennych danych, w tym dane uwierzytelniające, portfele kryptograficzne, adresy IP, informacje o sprzęcie, hasła, pliki cookie, dane kart kredytowych, rozszerzenia przeglądarki, a nawet listę zainstalowanych produktów antywirusowych.
Potencjalne konsekwencje
Chociaż dokładne intencje stojące za kampanią pozostają niejasne, skradzione dane mogą zostać sprzedane na nielegalnych forach lub wykorzystane do ułatwienia dalszych cyberataków. Ponadto Ov3r_Stealer może z czasem ewoluować, potencjalnie służąc jako mechanizm dostarczania bardziej destrukcyjnych ładunków, takich jak oprogramowanie ransomware.
Czujność i obrona
Biorąc pod uwagę ukryty charakter Ov3r_Stealer, natychmiastowe działanie jest konieczne dla dotkniętych użytkowników. Stosowanie solidnych rozwiązań chroniących przed złośliwym oprogramowaniem może pomóc w wykryciu i usunięciu tego zagrożenia, chroniąc systemy przed potencjalnymi szkodami.
