Logiciel malveillant Ov3r_Stealer

Les acteurs malveillants exploitent de fausses offres d'emploi sur Facebook pour inciter leurs victimes potentielles à installer involontairement un nouveau malware basé sur Windows appelé Ov3r_Stealer. Ce logiciel menaçant est spécialement conçu pour voler des informations d'identification et des portefeuilles cryptographiques, en transmettant les données collectées à un canal Telegram surveillé par l'acteur menaçant.

Ov3r_Stealer présente un large éventail de fonctionnalités, notamment l'extraction de l'emplacement basé sur l'adresse IP, des informations sur le matériel, des mots de passe, des cookies, des détails de carte de crédit, des données de remplissage automatique, des extensions de navigateur, des portefeuilles cryptographiques, des documents Microsoft Office et une liste des sécurités installées. produits sur l’hôte compromis.

Bien que l’objectif ultime de cette campagne reste flou, les informations obtenues sont probablement proposées à la vente à d’autres acteurs malveillants. Alternativement, Ov3r_Stealer peut subir des mises à jour au fil du temps, se transformant potentiellement en un chargeur similaire à QakBot , facilitant le déploiement de charges utiles supplémentaires, telles que des ransomwares.

La chaîne d'attaque déployant le logiciel malveillant Ov3r_Stealer

L’attaque commence par un fichier PDF militarisé, se présentant faussement comme un document stocké sur OneDrive. Il encourage les utilisateurs à cliquer sur un bouton « Accéder au document » intégré. Les chercheurs ont identifié la distribution de ce fichier PDF via un compte Facebook trompeur se faisant passer pour le PDG d'Amazon, Andy Jassy, et des publicités Facebook frauduleuses annonçant des postes publicitaires numériques.

En cliquant sur le bouton, les utilisateurs reçoivent un fichier de raccourci Internet (.URL) déguisé en document DocuSign hébergé sur le réseau de diffusion de contenu (CDN) de Discord. Ce fichier de raccourci sert de chemin pour fournir un fichier d'élément du panneau de configuration (.CPL), qui est ensuite exécuté à l'aide du binaire du processus du Panneau de configuration Windows (« control.exe »).

L'exécution du fichier CPL lance la récupération d'un chargeur PowerShell (« DATA1.txt ») à partir d'un référentiel GitHub, conduisant finalement au lancement d'Ov3r_Stealer.

Similitudes entre Ov3r_Stealer et d'autres menaces de logiciels malveillants

Les chercheurs en cybersécurité soulignent que les acteurs malveillants ont utilisé une chaîne d'infection presque identique pour déployer un autre voleur connu sous le nom de Phemadrone Stealer, exploitant la vulnérabilité de contournement de Microsoft Windows Defender SmartScreen (CVE-2023-36025, score CVSS : 8,8). La ressemblance s'étend encore plus loin, avec l'utilisation du référentiel GitHub (nateeintanan2527) et la présence de similitudes au niveau du code entre Ov3r_Stealer et Phemadrone. Il est concevable que Phhemedrone ait subi une réutilisation et un changement de nom sous le nom d'Ov3r_Stealer, la principale distinction étant que Phhemedrone est codé en C#.

Pour renforcer les liens entre les deux logiciels malveillants voleurs, l'acteur malveillant a été observé en train de partager des reportages sur le voleur de Phémédrone sur ses chaînes Telegram afin d'améliorer la « crédibilité » de son activité de malware en tant que service (MaaS).

L'un des messages observés se lit comme suit : « Mon voleur personnalisé fait la une des journaux, démontrant son caractère évasif. » J'en suis le développeur, je suis tellement ravi en ce moment. Les acteurs de la menace expriment leur frustration face au fait que, malgré leurs efforts pour tout garder « en mémoire », les chasseurs de menaces ont réussi à « inverser toute la chaîne d'exploitation ».

Comment pouvez-vous éviter les attaques de phishing qui génèrent des menaces de logiciels malveillants ?

Pour éviter les attaques de phishing génératrices de menaces de logiciels malveillants, il faut combiner vigilance, sensibilisation et adoption des meilleures pratiques en matière de sécurité en ligne. Voici quelques mesures clés que les utilisateurs peuvent prendre pour se protéger contre les attaques de phishing :

• Soyez sceptique à l'égard des e-mails non sollicités : évitez d'ouvrir des e-mails provenant d'expéditeurs inconnus.
• Soyez prudent même si l'e-mail semble provenir d'une source connue ; vérifiez l'adresse e-mail de l'expéditeur en cas de doute.
• Vérifier les URL et les liens : passez la souris sur les liens de courrier électronique pour prévisualiser l'URL avant de cliquer.
• Vérifiez la légitimité du site Web en comparant l'URL contenue dans l'e-mail à l'adresse du site officiel.
• Vérifiez le contenu des e-mails pour détecter les signaux d'alarme : recherchez les erreurs d'orthographe et de grammaire, qui peuvent indiquer des tentatives de phishing. Méfiez-vous des propos urgents ou menaçants qui vous poussent à agir immédiatement.
• Mettre à jour et utiliser les logiciels de sécurité : gardez votre système d'exploitation, vos logiciels anti-malware et vos applications à jour. Utilisez un logiciel de sécurité réputé pour fournir une protection en temps réel contre les logiciels malveillants.
• Préparez-vous et restez informé : restez informé des dernières tactiques de phishing et des menaces de logiciels malveillants. Renseignez-vous sur les indicateurs de phishing courants, tels que les salutations génériques et les demandes d'informations sensibles.
• Soyez prudent avec les pièces jointes : évitez d'ouvrir des pièces jointes provenant de sources inconnues ou inattendues. Corroborez la légitimité de l’expéditeur avant de télécharger ou d’ouvrir des pièces jointes.
• Surveillez les tactiques d'ingénierie sociale : soyez prudent face aux demandes d'informations sensibles, en particulier les mots de passe ou les détails financiers. Vérifiez l’identité des individus ou des organisations effectuant des demandes inhabituelles via un canal fiable.

En intégrant ces pratiques à votre comportement en ligne, vous pouvez réduire considérablement le risque d’être victime d’attaques de phishing générant des menaces de logiciels malveillants. Rester vigilant et mettre continuellement à jour vos connaissances sur les meilleures pratiques en matière de cybersécurité est crucial dans le paysage en constante évolution des menaces en ligne.