Malware Ov3r_Stealer
Gli autori delle minacce stanno sfruttando annunci di lavoro fasulli su Facebook per indurre le potenziali vittime a installare involontariamente un nuovo malware basato su Windows noto come Ov3r_Stealer. Questo software minaccioso è creato appositamente per rubare credenziali e portafogli crittografici, inoltrando i dati raccolti a un canale Telegram monitorato dall'autore della minaccia.
Ov3r_Stealer presenta un'ampia gamma di funzionalità, tra cui l'estrazione della posizione basata sull'indirizzo IP, informazioni sull'hardware, password, cookie, dettagli della carta di credito, dati di riempimento automatico, estensioni del browser, portafogli crittografici, documenti di Microsoft Office e un elenco di sicurezza installata prodotti sull'host compromesso.
Anche se l’obiettivo finale di questa campagna rimane poco chiaro, le informazioni ottenute vengono probabilmente offerte in vendita ad altri autori di minacce. In alternativa, Ov3r_Stealer potrebbe subire aggiornamenti nel tempo, trasformandosi potenzialmente in un caricatore simile a QakBot , facilitando l'implementazione di payload aggiuntivi, come il ransomware.
Sommario
La catena di attacco che distribuisce il malware Ov3r_Stealer
L'attacco inizia con un file PDF utilizzato come arma, che si presenta falsamente come un documento archiviato su OneDrive. Incoraggia gli utenti a fare clic su un pulsante "Accedi al documento" incorporato all'interno. I ricercatori hanno individuato la distribuzione di questo file PDF attraverso un account Facebook ingannevole che si spaccia per il CEO di Amazon Andy Jassy e annunci Facebook fraudolenti che pubblicizzano posizioni pubblicitarie digitali.
Facendo clic sul pulsante, gli utenti ricevono un file di collegamento Internet (.URL) mascherato da documento DocuSign ospitato sulla rete di distribuzione dei contenuti (CDN) di Discord. Questo file di collegamento funge da percorso per fornire un file di elemento del pannello di controllo (.CPL), che viene quindi eseguito utilizzando il file binario del processo del Pannello di controllo di Windows ("control.exe").
L'esecuzione del file CPL avvia il recupero di un caricatore PowerShell ('DATA1.txt') da un repository GitHub, portando infine al lancio di Ov3r_Stealer.
Somiglianze tra Ov3r_Stealer e altre minacce malware
I ricercatori di sicurezza informatica evidenziano che gli autori delle minacce hanno utilizzato una catena di infezione quasi identica per implementare un altro ladro noto come Phemedrone Stealer, sfruttando la vulnerabilità di bypass SmartScreen di Microsoft Windows Defender (CVE-2023-36025, punteggio CVSS: 8,8). La somiglianza si estende ulteriormente, con l'utilizzo del repository GitHub (nateeintanan2527) e la presenza di somiglianze a livello di codice tra Ov3r_Stealer e Phemedrone. È concepibile che Phemedrone sia stato riproposto e rebranding come Ov3r_Stealer, con la distinzione principale che Phemedrone è codificato in C#.
Per rafforzare i collegamenti tra i due malware stealer, è stato osservato che l'autore della minaccia condivideva notizie sul Phmedrone Stealer sui propri canali Telegram per aumentare la "credenza di strada" della propria attività di malware-as-a-service (MaaS).
Uno dei messaggi osservati recita: "Il mio ladro di costumi sta facendo notizia, dimostrando la sua evasività". Sono lo sviluppatore dietro a tutto ciò, sono così entusiasta in questo momento.' Gli autori delle minacce esprimono frustrazione per il fatto che, nonostante i loro sforzi per mantenere tutto "in memoria", i cacciatori di minacce sono riusciti a "invertire l'intera catena degli exploit".
Come evitare gli attacchi di phishing che rappresentano minacce malware?
Evitare gli attacchi di phishing che forniscono minacce malware richiede una combinazione di vigilanza, consapevolezza e adozione delle migliori pratiche per la sicurezza online. Ecco alcuni passaggi chiave che gli utenti possono adottare per proteggersi dal cadere vittime di attacchi di phishing:
- Sii scettico nei confronti delle e-mail non richieste : evita di aprire e-mail provenienti da mittenti sconosciuti.
- Sii cauto anche se l'e-mail sembra provenire da una fonte nota; verificare l'indirizzo email del mittente in caso di dubbi.
- Verifica URL e collegamenti : passa il mouse sopra i collegamenti e-mail per visualizzare l'anteprima dell'URL prima di fare clic.
- Verifica la legittimità del sito web confrontando l'URL nell'e-mail con l'indirizzo del sito web ufficiale.
- Controllare il contenuto dell'e-mail per individuare eventuali segnali d'allarme : cercare errori di ortografia e grammatica, che possono indicare tentativi di phishing. Diffidare del linguaggio urgente o minaccioso che ti spinge ad agire immediatamente.
- Aggiorna e utilizza il software di sicurezza : mantieni aggiornati il sistema operativo, il software antimalware e le applicazioni. Utilizza un software di sicurezza affidabile per fornire protezione in tempo reale contro il malware.
- Preparati e rimani informato : rimani informato sulle ultime tattiche di phishing e minacce malware. Informati sugli indicatori di phishing più comuni, come saluti generici e richieste di informazioni sensibili.
- Sii cauto con gli allegati : evita di aprire allegati da fonti sconosciute o inaspettate. Confermare la legittimità del mittente prima di scaricare o aprire gli allegati.
- Fai attenzione alle tattiche di ingegneria sociale : fai attenzione alle richieste di informazioni sensibili, in particolare password o dettagli finanziari. Verifica l'identità di individui o organizzazioni che effettuano richieste insolite attraverso un canale affidabile.
Incorporando queste pratiche nel tuo comportamento online, puoi ridurre in modo significativo il rischio di cadere vittima di attacchi di phishing che forniscono minacce malware. Rimanere vigili e aggiornare continuamente le proprie conoscenze sulle migliori pratiche di sicurezza informatica è fondamentale nel panorama in continua evoluzione delle minacce online.
