Ov3r_Stealer-malware
Bedreigingsactoren maken misbruik van valse vacatures op Facebook om potentiële slachtoffers te misleiden zodat ze ongewild een nieuwe Windows-gebaseerde malware installeren die bekend staat als Ov3r_Stealer. Deze bedreigende software is speciaal ontworpen om inloggegevens en crypto-wallets te stelen, waarbij de verzamelde gegevens worden doorgestuurd naar een Telegram-kanaal dat wordt gecontroleerd door de bedreiging.
Ov3r_Stealer biedt een breed scala aan mogelijkheden, waaronder de extractie van op IP-adressen gebaseerde locatie, hardware-informatie, wachtwoorden, cookies, creditcardgegevens, automatisch aanvullen van gegevens, browserextensies, crypto-wallets, Microsoft Office-documenten en een lijst met geïnstalleerde beveiliging producten op de getroffen host.
Hoewel het uiteindelijke doel van deze campagne onduidelijk blijft, wordt de verkregen informatie waarschijnlijk te koop aangeboden aan andere dreigingsactoren. Als alternatief kan Ov3r_Stealer in de loop van de tijd updates ondergaan, waardoor deze mogelijk verandert in een lader vergelijkbaar met QakBot , waardoor de inzet van extra payloads, zoals ransomware, wordt vergemakkelijkt.
Inhoudsopgave
De aanvalsketen waarbij de Ov3r_Stealer-malware wordt ingezet
De aanval begint met een bewapend PDF-bestand, dat zichzelf ten onrechte presenteert als een document dat is opgeslagen op OneDrive. Het moedigt gebruikers aan om op de daarin ingebouwde knop 'Toegang tot document' te klikken. Onderzoekers hebben de distributie van dit pdf-bestand vastgesteld via een misleidend Facebook-account dat zich voordeed als Amazon-CEO Andy Jassy en via frauduleuze Facebook-advertenties waarin digitale advertentieposities werden gepromoot.
Als gebruikers op de knop klikken, ontvangen ze een internetsnelkoppelingsbestand (.URL), vermomd als een DocuSign-document dat wordt gehost op het Content Delivery Network (CDN) van Discord. Dit snelkoppelingsbestand dient als pad om een Control Panel Item-bestand (.CPL) af te leveren, dat vervolgens wordt uitgevoerd met behulp van het binaire Windows Control Panel-proces ('control.exe').
Het uitvoeren van het CPL-bestand initieert het ophalen van een PowerShell-lader ('DATA1.txt') uit een GitHub-repository, wat uiteindelijk leidt tot de lancering van Ov3r_Stealer.
Overeenkomsten tussen Ov3r_Stealer en andere malwarebedreigingen
Cybersecurity-onderzoekers benadrukken dat bedreigingsactoren een vrijwel identieke infectieketen hebben gebruikt om een andere stealer in te zetten, bekend als de Phemedrone Stealer, en misbruik te maken van de Microsoft Windows Defender SmartScreen-bypass-kwetsbaarheid (CVE-2023-36025, CVSS-score: 8,8). De gelijkenis gaat verder, met het gebruik van de GitHub-repository (nateeintanan2527) en de aanwezigheid van overeenkomsten op codeniveau tussen Ov3r_Stealer en Phemedrone. Het is denkbaar dat Phemedrone een nieuwe bestemming en rebranding heeft ondergaan als Ov3r_Stealer, met als voornaamste onderscheid dat Phemedrone is gecodeerd in C#.
Om de banden tussen de twee stealer-malware te versterken, is waargenomen dat de bedreigingsacteur nieuwsberichten over de Phemedrone Stealer op hun Telegram-kanalen deelde om de 'street cred' van hun malware-as-a-service (MaaS)-bedrijf te vergroten.
Een van de geobserveerde berichten luidt: 'Mijn op maat gemaakte dief haalt de krantenkoppen en laat zien dat het ontwijkend is. Ik ben de ontwikkelaar erachter, ik ben er nu zo blij mee.' De dreigingsactoren uiten hun frustratie over het feit dat dreigingsjagers, ondanks hun pogingen om alles 'in het geheugen' te houden, erin zijn geslaagd 'de hele exploitatieketen om te keren'.
Hoe kunt u phishing-aanvallen vermijden die malwarebedreigingen opleveren?
Het vermijden van phishing-aanvallen die malwarebedreigingen opleveren, vereist een combinatie van waakzaamheid, bewustzijn en de toepassing van best practices voor online beveiliging. Hier volgen enkele belangrijke stappen die gebruikers kunnen nemen om te voorkomen dat ze het slachtoffer worden van phishing-aanvallen:
- Wees sceptisch tegenover ongevraagde e-mails : Vermijd het openen van e-mails van onbekende afzenders.
- Wees voorzichtig, zelfs als de e-mail afkomstig lijkt te zijn van een bekende bron; verifieer bij twijfel het e-mailadres van de afzender.
- URL's en links verifiëren : Beweeg over e-maillinks om een voorbeeld van de URL te bekijken voordat u klikt.
- Controleer de legitimiteit van de website door de URL in de e-mail te vergelijken met het adres van de officiële website.
- Controleer de e-mailinhoud op rode vlaggen : zoek naar spelling- en grammaticafouten, die op phishing-pogingen kunnen duiden. Wees op uw hoede voor dringende of bedreigende taal die u onder druk zet om onmiddellijk actie te ondernemen.
- Update en gebruik beveiligingssoftware : houd uw besturingssysteem, antimalwaresoftware en applicaties up-to-date. Gebruik gerenommeerde beveiligingssoftware om realtime bescherming tegen malware te bieden.
- Bereid u voor en blijf op de hoogte : blijf op de hoogte van de nieuwste phishing-tactieken en malwarebedreigingen. Leer uzelf over algemene phishing-indicatoren, zoals algemene begroetingen en verzoeken om gevoelige informatie.
- Wees voorzichtig met bijlagen : Vermijd het openen van bijlagen van onbekende of onverwachte bronnen. Bevestig de legitimiteit van de afzender voordat u bijlagen downloadt of opent.
- Let op social engineering-tactieken : wees voorzichtig met verzoeken om gevoelige informatie, vooral wachtwoorden of financiële gegevens. Controleer de identiteit van personen of organisaties die ongebruikelijke verzoeken indienen via een vertrouwd kanaal.
Door deze praktijken in uw onlinegedrag op te nemen, kunt u het risico aanzienlijk verkleinen dat u het slachtoffer wordt van phishing-aanvallen die malwarebedreigingen opleveren. Waakzaam blijven en uw kennis over best practices op het gebied van cyberbeveiliging voortdurend bijwerken, is van cruciaal belang in het steeds evoluerende landschap van online bedreigingen.
