Bedreigingsactoren gebruiken valse Facebook-vacatures als lokmiddel om potentiële doelwitten te misleiden om een nieuwe op Windows gebaseerde stealer-malware met de codenaam te installeren Ov3r_Stealer.
“Deze malware is ontworpen om inloggegevens en crypto-wallets te stelen en deze naar een Telegram-kanaal te sturen dat de bedreigingsacteur in de gaten houdt”, aldus Trustwave SpiderLabs in een rapport gedeeld met The Hacker News.
Ov3r_Stealer kan op IP-adressen gebaseerde locatie, hardware-informatie, wachtwoorden, cookies, creditcardgegevens, automatisch invullen, browserextensies, crypto-wallets, Microsoft Office-documenten en een lijst met antivirusproducten die op de getroffen host zijn geïnstalleerd, overhevelen.
Hoewel het exacte einddoel van de campagne onbekend is, is het waarschijnlijk dat de gestolen informatie te koop wordt aangeboden aan andere bedreigingsactoren. Een andere mogelijkheid is dat Ov3r_Stealer in de loop van de tijd kan worden bijgewerkt om te fungeren als een QakBot-achtige lader voor extra ladingen, waaronder ransomware.
Het startpunt van de aanval is een bewapend PDF-bestand dat zich voordoet als een bestand dat wordt gehost op OneDrive en dat gebruikers aanspoort om op een daarin ingebedde knop ‘Toegang tot document’ te klikken.
Trustwave zei dat het het pdf-bestand had geïdentificeerd dat werd gedeeld op een nep-Facebook-account dat zich voordeed als Amazon-CEO Andy Jassy, en via Facebook-advertenties voor digitale advertentieopdrachten.
Gebruikers die uiteindelijk op de knop klikken, krijgen een internetsnelkoppelingsbestand (.URL) te zien dat zich voordoet als een DocuSign-document dat wordt gehost op het Content Delivery Network (CDN) van Discord. Het snelkoppelingsbestand fungeert vervolgens als kanaal om een bestand met een configuratieschermitem (.CPL) af te leveren, dat vervolgens wordt uitgevoerd met behulp van het binaire proces van het Windows Configuratiescherm (“control.exe”).
De uitvoering van het CPL-bestand leidt tot het ophalen van een PowerShell-lader (“DATA1.txt”) uit een GitHub-repository om uiteindelijk Ov3r_Stealer te starten.
Het is in dit stadium de moeite waard om op te merken dat onlangs door Trend Micro een vrijwel identieke infectieketen werd onthuld die door bedreigingsactoren is gebruikt om een andere stealer, genaamd Phemedrone Stealer, te laten vallen door misbruik te maken van de Microsoft Windows Defender SmartScreen bypass-fout (CVE-2023-36025, CVSS-score: 8,8).
De overeenkomsten strekken zich uit tot de gebruikte GitHub-repository (nateeintanan2527) en het feit dat Ov3r_Stealer overlappingen op codeniveau deelt met Phemedrone.
“Deze malware is onlangs gemeld en het kan zijn dat Phemedrone een nieuwe bestemming heeft gekregen en is hernoemd naar Ov3r_Stealer”, aldus Trustwave. “Het belangrijkste verschil tussen de twee is dat Phemedrone in C# is geschreven.”
De bevindingen komen op het moment dat Hudson Rock onthulde dat bedreigingsactoren reclame maken voor hun toegang tot portalen voor wetshandhavingsverzoeken van grote organisaties als Binance, Google, Meta en TikTok door gebruik te maken van inloggegevens die zijn verkregen via infostealer-infecties.
Ze volgen ook de opkomst van een categorie infecties genaamd CrackedCantil, die gebruik maakt van gekraakte software als een initiële toegangsvector om laders zoals PrivateLoader en SmokeLoader te droppen, om vervolgens te fungeren als een leveringsmechanisme voor informatiestelers, cryptominers, proxy-botnets en ransomware.
