Bedrohungsakteure nutzen gefälschte Facebook-Stellenanzeigen als Köder, um potenzielle Ziele dazu zu verleiten, eine neue Stealer-Malware namens Ov3r_Stealer auf Windows-Systemen zu installieren. Die Malware ist darauf ausgerichtet, Anmeldeinformationen und Kryptowallets zu stehlen und diese an einen Telegram-Kanal zu senden, den der Angreifer überwacht. Ov3r_Stealer kann Standortdaten, Hardware-Informationen, Passwörter, Cookies, Kreditkarteninformationen, Auto-Fills, Browser-Erweiterungen, Kryptowallets, Microsoft Office-Dokumente und eine Liste der auf dem kompromittierten Host installierten Antivirenprodukte abziehen. Das genaue Endziel der Kampagne ist unbekannt, aber es ist wahrscheinlich, dass die gestohlenen Informationen anderen Bedrohungsakteuren zum Verkauf angeboten werden könnten. Eine andere Möglichkeit besteht darin, dass Ov3r_Stealer im Laufe der Zeit aktualisiert wird, um als QakBot-ähnlicher Loader für zusätzliche Payloads, einschließlich Ransomware, zu fungieren.
Der Angriff beginnt mit einer manipulierten PDF-Datei, die vorgibt, eine auf OneDrive gehostete Datei zu sein, und Benutzer dazu auffordert, auf einen darin eingebetteten Button „Dokument öffnen“ zu klicken. Das PDF wurde auf einem gefälschten Facebook-Konto, das Amazon-CEO Andy Jassy nachahmt, sowie über Facebook-Anzeigen für digitale Werbejobs verbreitet. Benutzer, die auf den Button klicken, erhalten eine Internet-Verknüpfungsdatei (.URL), die sich als DocuSign-Dokument ausgibt und auf dem Content Delivery Network (CDN) von Discord gehostet wird. Die Verknüpfungsdatei fungiert dann als Zugangspunkt für eine Control-Panel-Elementdatei (.CPL), die mithilfe des Windows Control Panel-Process-Binarys („control.exe“) ausgeführt wird. Die Ausführung der CPL-Datei führt zur Extraktion eines PowerShell-Loaders („DATA1.txt“) aus einem GitHub-Repository, um letztendlich Ov3r_Stealer zu starten.
Es ist erwähnenswert, dass kürzlich von Trend Micro eine nahezu identische Infektionskette offengelegt wurde, bei der Bedrohungsakteure eine andere Malware namens Phemedrone Stealer einsetzten, indem sie die Schwachstelle der Umgehung von Microsoft Windows Defender SmartScreen (CVE-2023-36025, CVSS-Score: 8.8) ausnutzten. Die Ähnlichkeiten erstrecken sich auf das verwendete GitHub-Repository (nateeintanan2527) und die Tatsache, dass Ov3r_Stealer codebezogene Überschneidungen mit Phemedrone aufweist. Es besteht die Möglichkeit, dass Phemedrone umfunktioniert und in Ov3r_Stealer umbenannt wurde.
Die Ergebnisse kommen zu einer Zeit, in der Hudson Rock öffentlich gemacht hat, dass Bedrohungsakteure ihre Zugriffe auf Anfragesysteme von Strafverfolgungsbehörden großer Organisationen wie Binance, Google, Meta und TikTok bewerben, indem sie Zugangsdaten aus Infostealer-Infektionen nutzen. Sie folgen auch auf das Auftauchen einer neuen Art von Infektionen namens CrackedCantil, bei denen geknackte Software als anfänglicher Zugangspunkt genutzt wird, um Loader wie PrivateLoader und SmokeLoader abzusetzen, die dann als Liefermechanismus für Information-Stealer, Crypto-Miner, Proxy-Botnets und Ransomware dienen.