Ov3r_Stealer-Malware
Bedrohungsakteure nutzen gefälschte Stellenanzeigen auf Facebook, um potenzielle Opfer dazu zu verleiten, unabsichtlich eine neue Windows-basierte Malware namens Ov3r_Stealer zu installieren. Diese bedrohliche Software ist speziell darauf ausgelegt, Zugangsdaten und Krypto-Wallets zu stehlen und die gesammelten Daten an einen vom Bedrohungsakteur überwachten Telegram-Kanal weiterzuleiten.
Ov3r_Stealer bietet eine breite Palette an Funktionen, darunter die Extraktion von IP-Adress-basierten Standorten, Hardwareinformationen, Passwörtern, Cookies, Kreditkartendetails, automatisch ausgefüllten Daten, Browsererweiterungen, Krypto-Wallets, Microsoft Office-Dokumenten und einer Liste der installierten Sicherheitsfunktionen Produkte auf dem kompromittierten Host.
Obwohl das letztendliche Ziel dieser Kampagne unklar bleibt, werden die erhaltenen Informationen wahrscheinlich anderen Bedrohungsakteuren zum Verkauf angeboten. Alternativ kann Ov3r_Stealer im Laufe der Zeit aktualisiert werden und sich möglicherweise in einen Loader ähnlich wie QakBot verwandeln, was die Bereitstellung zusätzlicher Payloads wie Ransomware erleichtert.
Inhaltsverzeichnis
Die Angriffskette, die die Ov3r_Stealer-Malware einsetzt
Der Angriff beginnt mit einer waffenfähigen PDF-Datei, die sich fälschlicherweise als auf OneDrive gespeichertes Dokument ausgibt. Es fordert Benutzer dazu auf, auf die darin eingebettete Schaltfläche „Zugriff auf das Dokument“ zu klicken. Forscher haben die Verbreitung dieser PDF-Datei über ein betrügerisches Facebook-Konto, das sich als Amazon-CEO Andy Jassy ausgibt, und über betrügerische Facebook-Anzeigen zur Werbung für digitale Werbepositionen ermittelt.
Beim Klicken auf die Schaltfläche erhalten Benutzer eine Internet-Verknüpfungsdatei (.URL), die als DocuSign-Dokument getarnt ist und im Content Delivery Network (CDN) von Discord gehostet wird. Diese Verknüpfungsdatei dient als Pfad zur Bereitstellung einer Systemsteuerungselementdatei (.CPL), die dann mithilfe der Windows-Systemsteuerungsprozessbinärdatei („control.exe“) ausgeführt wird.
Durch die Ausführung der CPL-Datei wird der Abruf eines PowerShell-Loaders („DATA1.txt“) aus einem GitHub-Repository initiiert, was letztendlich zum Start von Ov3r_Stealer führt.
Ähnlichkeiten zwischen Ov3r_Stealer und anderen Malware-Bedrohungen
Cybersicherheitsforscher weisen darauf hin, dass Bedrohungsakteure eine nahezu identische Infektionskette nutzten, um einen anderen Stealer namens Phemedrone Stealer einzusetzen und dabei die Microsoft Windows Defender SmartScreen-Bypass-Schwachstelle (CVE-2023-36025, CVSS-Score: 8,8) auszunutzen. Die Ähnlichkeit wird durch die Nutzung des GitHub-Repositorys (nateeintanan2527) und das Vorhandensein von Ähnlichkeiten auf Codeebene zwischen Ov3r_Stealer und Phemedrone noch größer. Es ist denkbar, dass Phemedrone einer Umwidmung und Umbenennung in Ov3r_Stealer unterzogen wurde, wobei der Hauptunterschied darin besteht, dass Phemedrone in C# codiert ist.
Um die Verbindungen zwischen den beiden Stealer-Malware zu verstärken, wurde beobachtet, dass der Bedrohungsakteur Nachrichtenberichte über den Phemedrone Stealer auf seinen Telegram-Kanälen veröffentlichte, um die Glaubwürdigkeit seines Malware-as-a-Service (MaaS)-Geschäfts zu stärken.
Eine der beobachteten Nachrichten lautet: „Mein benutzerdefinierter Diebstahler macht Schlagzeilen und zeigt, dass er ausweichlich ist.“ Ich bin der Entwickler dahinter und im Moment total begeistert.‘ Die Bedrohungsakteure äußern ihre Frustration darüber, dass es den Bedrohungsjägern trotz ihrer Bemühungen, alles „im Gedächtnis“ zu behalten, gelungen ist, „die gesamte Exploit-Kette umzukehren“.
Wie können Sie Phishing-Angriffe vermeiden, die Malware-Bedrohungen beinhalten?
Um Phishing-Angriffe zu vermeiden, die Malware-Bedrohungen mit sich bringen, ist eine Kombination aus Wachsamkeit, Bewusstsein und der Einführung bewährter Methoden für die Online-Sicherheit erforderlich. Hier sind einige wichtige Schritte, die Benutzer unternehmen können, um sich davor zu schützen, Opfer von Phishing-Angriffen zu werden:
- Seien Sie skeptisch gegenüber unerwünschten E-Mails : Vermeiden Sie das Öffnen von E-Mails von unbekannten Absendern.
- Seien Sie vorsichtig, auch wenn die E-Mail scheinbar von einer bekannten Quelle stammt. Überprüfen Sie im Zweifelsfall die E-Mail-Adresse des Absenders.
- URLs und Links überprüfen : Bewegen Sie den Mauszeiger über E-Mail-Links, um eine Vorschau der URL anzuzeigen, bevor Sie darauf klicken.
- Überprüfen Sie die Legitimität der Website, indem Sie die URL in der E-Mail mit der Adresse der offiziellen Website vergleichen.
- Überprüfen Sie den E-Mail-Inhalt auf Warnsignale : Suchen Sie nach Rechtschreib- und Grammatikfehlern, die auf Phishing-Versuche hinweisen können. Seien Sie vorsichtig bei dringenden oder bedrohlichen Äußerungen, die Sie zu sofortigem Handeln drängen.
- Aktualisieren und verwenden Sie Sicherheitssoftware : Halten Sie Ihr Betriebssystem, Ihre Anti-Malware-Software und Ihre Anwendungen auf dem neuesten Stand. Verwenden Sie seriöse Sicherheitssoftware, um Echtzeitschutz vor Malware zu bieten.
- Bereiten Sie sich vor und bleiben Sie informiert : Bleiben Sie über die neuesten Phishing-Taktiken und Malware-Bedrohungen auf dem Laufenden. Informieren Sie sich über gängige Phishing-Indikatoren wie allgemeine Begrüßungen und Anfragen nach vertraulichen Informationen.
- Seien Sie vorsichtig mit Anhängen : Vermeiden Sie das Öffnen von Anhängen aus unbekannten oder unerwarteten Quellen. Überprüfen Sie die Legitimität des Absenders, bevor Sie Anhänge herunterladen oder öffnen.
- Achten Sie auf Social-Engineering-Taktiken : Seien Sie vorsichtig bei Anfragen nach sensiblen Informationen, insbesondere Passwörtern oder Finanzdaten. Überprüfen Sie die Identität von Einzelpersonen oder Organisationen, die ungewöhnliche Anfragen über einen vertrauenswürdigen Kanal stellen.
Indem Sie diese Praktiken in Ihr Online-Verhalten integrieren, können Sie das Risiko, Opfer von Phishing-Angriffen mit Malware-Bedrohungen zu werden, erheblich verringern. In der sich ständig weiterentwickelnden Landschaft der Online-Bedrohungen ist es von entscheidender Bedeutung, wachsam zu bleiben und Ihr Wissen über Best Practices im Bereich Cybersicherheit kontinuierlich zu aktualisieren.
