Ov3r_Stealer
A Trustwave SpiderLabs egy új malware-t fedezett fel a Facebook álláshirdetés oldalán. A Ov3r_Stealer malware arra szolgál, hogy ellopja a hitelesítő adatokat és kriptotárcákat, azokat egy Telegram-csatornára küldi, amelyet a fenyegetés elkövetője figyel.
A rosszindulatú szoftver kezdeti támadási vektora a felfedezés idején egy Facebook álláshirdetés volt, amely egy Account Manager pozícióra vonatkozott. A linkek egy rosszindulatú Discord tartalomszolgáltató URL-hez vezették a felhasználót, amely viszont megkezdte a támadás végrehajtási fázisát. Az áldozatunk környezetében egy Windows Vezérlőpult összetevőjének álcázott Powershell szkriptet hajtottak végre, amely három fájl formájában letöltötte a kártevőt egy GitHub oldalról. A kártevőcsalád vizsgálatakor a SpiderLabs csapataink felfedezték a kártevő rendszerbe való betöltésének egyéb módszereit, amelyek között szerepelt a HTML-csempészet, az SVG-csempészet és az LNK-fájlok álcázása.
Miután a három fájl formájában megjelenő kártevő betöltődött a rendszerbe és végrehajtásra került, az ütemezett feladat révén létrejön egy tartós jelenlét az eszközön, a kártevő 90 percenként lefut. A rosszindulatú programot úgy tervezték, hogy meghatározott típusú adatokat szivárogtasson ki, például Geolokáció (IP-alapú), hardverinformációk, jelszavak, cookie-k, hitelkártyaadatok, automatikus kitöltések, böngészőbővítmények, kriptotárcák, Office-dokumentumok és vírusirtó termékinformációk. Miután az információkat összegyűjtötték, azok feltöltődtek egy Telegram-csatornára, amelyet a fenyegető szereplő megfigyel.