Le false offerte di lavoro su Facebook vengono utilizzate dagli attori delle minacce come esca per ingannare le potenziali vittime affinché scarichino un nuovo malware ruba-dati per Windows noto come Ov3r_Stealer.
Secondo una ricerca condivisa con The Hacker News da Trustwave SpiderLabs, "questo malware è progettato per rubare credenziali e portafogli cripto e inviarli a un canale Telegram monitorato dall'attore della minaccia."
Ov3r_Stealer può estrarre informazioni sull'hardware dell'host compromesso, password, dettagli delle carte di credito, auto-completamenti, estensioni del browser, portafogli di criptovalute, documenti di Microsoft Office e software antivirus installati.
Sebbene l'obiettivo preciso della campagna sia sconosciuto, è probabile che i dati rubati vengano offerti ad altri attori di minacce in vendita. Un'altra possibilità è che Ov3r_Stealer venga eventualmente modificato per funzionare come un caricatore per ulteriori payload, come il ransomware, simile a QakBot.
L'attacco inizia con un file PDF malevolo che sembra ospitato su OneDrive e invita gli utenti a cliccare su un pulsante "Accesso Documento" incorporato.
Secondo Trustwave, è stato scoperto che il file PDF veniva distribuito tramite annunci pubblicitari su Facebook per opportunità di pubblicità digitale e su un account falso che si spaccia per quello dell'Amministratore Delegato di Amazon, Andy Jassy.
Quando un utente clicca sul pulsante, gli viene inviato un file noto come collegamento web (.URL), che sembra essere un documento DocuSign memorizzato sulla rete di consegna di contenuti (CDN) di Discord. Successivamente, viene utilizzato il binario del processo del Pannello di Controllo di Windows ("control.exe") per eseguire il file dell'elemento del pannello di controllo (.CPL) che viene consegnato tramite il file di collegamento.
Quando viene eseguito il file CPL, viene scaricato un caricatore PowerShell ("DATA1.txt") da un repository GitHub, che è ciò che infine lancia Ov3r_Stealer.
Post di Lavoro su Facebook
A questo punto, è importante notare che Trend Micro ha recentemente rivelato che gli attori delle minacce stavano utilizzando una catena di infezione quasi identica per rilasciare un altro ruba-dati, noto come Phemedrone Stealer, sfruttando una vulnerabilità di bypass di Microsoft Windows Defender SmartScreen (CVE-2023-36025, punteggio CVSS: 8.8).
Il repository GitHub utilizzato (nateeintanan2527) e le sovrapposizioni a livello di codice tra Ov3r_Stealer e Phemedrone sono anche comparabili.
"Questo malware è stato segnalato di recente, e potrebbe essere che Phemedrone sia stato riutilizzato e rinominato in Ov3r_Stealer," ha avvertito Trustwave. "La principale differenza tra i due è che Phemedrone è scritto in C#."
I risultati coincidono con la rivelazione di Hudson Rock che gli attori delle minacce stanno utilizzando credenziali rubate tramite infezioni da infostealer per pubblicizzare il loro accesso ai portali di richiesta delle forze dell'ordine di importanti aziende tra cui Google, TikTok, Binance e Meta.
Coincidono anche con l'apparizione di una classe di infezioni note come CrackedCantil, che utilizzano software compromesso come primo punto di ingresso per i drop loader come PrivateLoader e SmokeLoader. Questi drop loader fungono poi da veicolo per la distribuzione di ransomware, crypto miner, ladri di informazioni e botnet proxy.
Comments