Ov3r_Stealer マルウェア

脅威アクターは、Facebook 上の偽の求人広告を悪用し、潜在的な被害者をだまして、Ov3r_Stealer として知られる新しい Windows ベースのマルウェアを無意識のうちにインストールさせます。この脅威的なソフトウェアは、認証情報と暗号ウォレットを盗むように特別に作られており、収集したデータを脅威アクターが監視する Telegram チャネルに転送します。

Ov3r_Stealer は、IP アドレスベースの位置情報、ハードウェア情報、パスワード、Cookie、クレジット カードの詳細、自動入力データ、ブラウザ拡張機能、暗号ウォレット、Microsoft Office ドキュメント、インストールされているセキュリティのリストなどの抽出を含む、幅広い機能を示します。侵害されたホスト上の製品。

このキャンペーンの最終的な目的は依然として不明ですが、入手された情報はおそらく他の脅威アクターに販売されていると考えられます。あるいは、Ov3r_Stealer は時間の経過とともに更新され、 QakBotに似たローダーに変換され、ランサムウェアなどの追加のペイロードの展開を容易にする可能性があります。

Ov3r_Stealer マルウェアを展開する攻撃チェーン

攻撃は、OneDrive に保存されているドキュメントであると偽って、武器化された PDF ファイルから始まります。これは、ユーザーに埋め込まれた「ドキュメントにアクセス」ボタンをクリックするよう促します。研究者らは、Amazon CEO の Andy Jassy を装った偽の Facebook アカウントと、デジタル広告のポジションを宣伝する詐欺的な Facebook 広告を介して、この PDF ファイルが配布されたことを特定しました。

ボタンをクリックすると、ユーザーは、Discord のコンテンツ配信ネットワーク (CDN) でホストされている DocuSign ドキュメントを装ったインターネット ショートカット (.URL) ファイルを受け取ります。このショートカット ファイルは、コントロール パネル アイテム (.CPL) ファイルを配信するためのパスとして機能します。このファイルは、Windows コントロール パネル プロセス バイナリ (「control.exe」) を使用して実行されます。

CPL ファイルを実行すると、GitHub リポジトリから PowerShell ローダー (「DATA1.txt」) の取得が開始され、最終的に Ov3r_Stealer が起動されます。

Ov3r_Stealer と他のマルウェア脅威の類似点

サイバーセキュリティ研究者らは、攻撃者がほぼ同一の感染チェーンを利用して、Phemedrone Stealer として知られる別のスティーラーを展開し、Microsoft Windows Defender SmartScreen バイパスの脆弱性 (CVE-2023-36025、CVSS スコア: 8.8) を悪用したことを強調しています。 GitHub リポジトリ (nateeintanan2527) の利用と、Ov3r_Stealer と Phemedrone の間にコード レベルの類似性が存在することで、類似性はさらに広がります。 Phemdrone は再利用され、Ov3r_Stealer としてブランド変更されたと考えられますが、主な違いは Phemedrone が C# でコード化されていることです。

2 つのスティーラー マルウェア間のつながりを強化するために、脅威アクターは、Phemedrone Stealer に関するニュース レポートを Telegram チャネルで共有し、サービスとしてのマルウェア (MaaS) ビジネスの「世間での信用」を高めていることが観察されています。

観察されたメッセージの 1 つは、「私のカスタム スティーラーがその回避能力を誇示し、見出しを飾っています」と書かれています。私はその開発者であり、今とても興奮しています。」攻撃者らは、すべてを「メモリ内」に保持しようと努めたにもかかわらず、脅威ハンターが「エクスプロイト チェーン全体を逆転」できたという事実に不満を表明しています。

マルウェアの脅威をもたらすフィッシング攻撃を回避するにはどうすればよいでしょうか?

マルウェアの脅威をもたらすフィッシング攻撃を回避するには、警戒、認識、オンライン セキュリティのベスト プラクティスの導入を組み合わせる必要があります。フィッシング攻撃の被害から身を守るためにユーザーが実行できる重要な手順をいくつか示します。

• 迷惑メールには懐疑的になる: 不明な送信者からのメールは開かないようにしてください。
• 電子メールが既知の送信元から送信されているように見える場合でも、注意してください。疑わしい場合は、送信者の電子メール アドレスを確認してください。
• URL とリンクを確認する: クリックする前に、電子メールのリンクにカーソルを合わせて URL をプレビューします。
• メール内の URL と公式 Web サイトのアドレスを比較して、Web サイトの正当性を検証します。
• 電子メールの内容に危険信号がないか確認する: フィッシングの試みを示す可能性がある、スペルや文法上の誤りがないかどうかを確認します。すぐに行動を起こすようプレッシャーをかける、緊急の言葉や脅迫的な言葉には注意してください。
• セキュリティ ソフトウェアを更新して使用する: オペレーティング システム、マルウェア対策ソフトウェア、アプリケーションを最新の状態に保ちます。評判の良いセキュリティ ソフトウェアを使用して、マルウェアに対するリアルタイムの保護を提供します。
• 準備を整えて常に最新情報を入手: 最新のフィッシング戦術やマルウェアの脅威について常に最新の情報を入手してください。一般的な挨拶や機密情報の要求など、一般的なフィッシングの兆候について学習してください。
• 添付ファイルには注意する: 不明なソースまたは予期しないソースからの添付ファイルを開かないようにしてください。添付ファイルをダウンロードしたり開いたりする前に、送信者の正当性を確認してください。
• ソーシャル エンジニアリング戦術に注意する: 機密情報、特にパスワードや財務詳細の要求には注意してください。信頼できるチャネルを通じて異常なリクエストを行う個人または組織の身元を確認します。

これらの実践をオンラインでの行動に組み込むことで、マルウェアの脅威をもたらすフィッシング攻撃の被害に遭うリスクを大幅に減らすことができます。常に警戒を怠らず、サイバーセキュリティのベスト プラクティスに関する知識を継続的に更新することは、進化し続けるオンライン脅威の状況において非常に重要です。