Tehdit aktörleri, olası hedefleri kandırıp kod adı yeni Windows tabanlı hırsız kötü amaçlı yazılım yüklemeleri için sahte Facebook iş ilanlarından yararlanıyor. Ov3r_Stealer.
Trustwave SpiderLabs, “Bu kötü amaçlı yazılım, kimlik bilgilerini ve kripto cüzdanlarını çalmak ve bunları tehdit aktörünün izlediği bir Telegram kanalına göndermek için tasarlandı.” söz konusu The Hacker News ile paylaşılan bir raporda.
Ov3r_Stealer, IP adresi tabanlı konumu, donanım bilgilerini, şifreleri, çerezleri, kredi kartı bilgilerini, otomatik doldurmaları, tarayıcı uzantılarını, kripto cüzdanlarını, Microsoft Office belgelerini ve ele geçirilen ana bilgisayarda yüklü antivirüs ürünlerinin bir listesini çekme yeteneğine sahiptir.
Kampanyanın kesin nihai hedefi bilinmemekle birlikte, çalınan bilgilerin diğer tehdit aktörlerine satışa sunulması muhtemel. Diğer bir olasılık da Ov3r_Stealer’ın zaman içinde güncellenerek bir QakBot benzeri yükleyici Fidye yazılımı da dahil olmak üzere ek yükler için.
Saldırının başlangıç noktası, OneDrive’da barındırılan bir dosya olduğu iddia edilen, kullanıcıları içine gömülü “Belgeye Eriş” düğmesini tıklamaya teşvik eden silahlı bir PDF dosyasıdır.
Trustwave, PDF dosyasının Amazon CEO’su Andy Jassy’nin kimliğine bürünen sahte bir Facebook hesabında ve dijital reklamcılık işleri için Facebook reklamları aracılığıyla paylaşıldığını tespit ettiğini söyledi.
Düğmeye tıklayan kullanıcılara, Discord’un içerik dağıtım ağında (CDN) barındırılan bir DocuSign belgesi gibi görünen bir internet kısayolu (.URL) dosyası sunulur. Kısayol dosyası daha sonra bir kontrol paneli öğesi (.CPL) dosyası iletmek için bir kanal görevi görür ve bu dosya daha sonra Windows Denetim Masası işlem ikili programı kullanılarak yürütülür (“control.exe“).
CPL dosyasının yürütülmesi, sonuçta Ov3r_Stealer’ı başlatmak için GitHub deposundan bir PowerShell yükleyicisinin (“DATA1.txt”) alınmasına yol açar.
Bu aşamada, neredeyse aynı bir enfeksiyon zincirinin yakın zamanda Trend Micro tarafından tehdit aktörleri tarafından Microsoft Windows Defender SmartScreen atlama kusurundan (CVE-2023-36025, CVE-2023-36025, CVSS puanı: 8.8).
Benzerlikler, kullanılan GitHub deposuna (nateeintanan2527) ve Ov3r_Stealer’ın Phemedrone ile kod düzeyinde örtüşmeleri paylaştığı gerçeğine kadar uzanır.
Trustwave, “Bu kötü amaçlı yazılım yakın zamanda rapor edildi ve Phemedrone’un başka bir amaçla kullanılması ve Ov3r_Stealer olarak yeniden adlandırılması olabilir” dedi. “İkisi arasındaki temel fark Phemedrone’un C# ile yazılmış olmasıdır.”
Bulgular, Hudson Rock’ın tehdit aktörlerinin aşağıdaki gibi büyük kuruluşların kolluk kuvveti talep portallarına erişimlerinin reklamını yaptığını ortaya çıkarmasıyla geldi. Binance, Google, Meta ve TikTok Bilgi hırsızı enfeksiyonlarından elde edilen kimlik bilgilerinden yararlanarak.
Ayrıca, adı verilen bir enfeksiyon kategorisinin ortaya çıkışını da takip ediyorlar. KırıkKantil PrivateLoader ve SmokeLoader gibi yükleyicileri bırakmak için ilk erişim vektörü olarak kırılmış yazılımlardan yararlanan, daha sonra bilgi çalanlara, kripto madencilerine, proxy botnet’lere ve fidye yazılımlarına yönelik bir dağıtım mekanizması görevi gören.
