Un nouveau malware de vol de mots de passe nommé Over_Stealer se propage par le biais de fausses offres d’emploi sur Facebook, visant à voler les informations d’identification du compte et la crypto-monnaie.
Les fausses offres d’emploi concernent des postes de direction et conduisent les utilisateurs vers une URL Discord où un script PowerShell télécharge la charge utile du logiciel malveillant à partir d’un référentiel GitHub.
Les analystes de Trustwave qui ont découvert la campagne de logiciels malveillants notent que bien qu’aucune de ses tactiques ne soit nouvelle, elle reste une menace sérieuse pour de nombreuses victimes potentielles, étant donné la popularité de Facebook en tant que plate-forme de médias sociaux.
Chaîne d’infection Ov3r_Stealer
Les victimes sont attirées par une annonce d’emploi sur Facebook les invitant à postuler pour un poste de gestionnaire de compte dans la publicité numérique.
L’annonce renvoie à un fichier PDF hébergé sur OneDrive qui contient soi-disant les détails de la tâche, mais cliquer dessus déclenche une redirection Discord CDN qui télécharge un fichier nommé ‘pdf2.cpl. »
Ce fichier est masqué pour ressembler à un document DocuSign, mais en réalité, il s’agit d’une charge utile PowerShell exploitant le fichier du panneau de configuration Windows pour l’exécution.
À ce stade, Trustwave a observé quatre méthodes distinctes de chargement de logiciels malveillants, à savoir:
- fichiers malveillants du panneau de configuration (CPL) exécutant des scripts PowerShell distants,
- fichiers HTML militarisés (contrebande HTML) contenant des fichiers ZIP encodés en base64 avec un contenu malveillant,
- Fichiers LNK déguisés en fichiers texte mais agissant en fait comme des raccourcis de téléchargement,
- Fichiers SVG contenant incorporé .Fichiers RAR (contrebande SVG).
La charge utile finale est composée de trois fichiers: un exécutable Windows légitime (WerFaultSecure.exe), une DLL utilisée pour le chargement latéral de DLL (Wer.dll), et un document contenant le code malveillant (Sécurisé.pdf).
Trustwave signale qu’une fois exécuté, le malware établit la persistance à l’aide de commandes qui ajoutent une tâche planifiée nommée « Licensing2 », qui s’exécute sur les ordinateurs infectés toutes les 90 minutes.
Vol et exfiltration
Over_Stealer tente de voler des données à partir d’un large éventail d’applications, y compris des applications de portefeuille de crypto-monnaie, des navigateurs Web, des extensions de navigateur, Discord, Filezilla et bien d’autres.
De plus, le logiciel malveillant inspecte la configuration des services système dans le registre Windows, éventuellement pour identifier des cibles potentielles, et peut rechercher des fichiers de documents dans des répertoires locaux.
Vous trouverez ci-dessous la liste complète des applications et répertoires qu’Over_Stealer examine à la recherche d’entrées précieuses qu’il peut exfiltrer.
Le malware collecte toutes les informations qu’il peut trouver sur l’ordinateur infecté toutes les 90 minutes et les envoie à un robot Telegram, y compris les informations de géolocalisation de la victime et un résumé des données volées.
Origine Ov3r_Stealer
Trustwave a trouvé des liens entre le canal de télégramme d’exfiltration et des noms d’utilisateur spécifiques qui apparaissent dans des forums liés au craquage de logiciels et aux communautés pertinentes.
De plus, les chercheurs notent des similitudes de code entre Ov3r_Stealer et Phenadrine, AC # stealer, qui pourraient avoir été utilisées comme base pour le nouveau malware.
Trustwave dit avoir localisé des vidéos de démonstration du fonctionnement du logiciel malveillant, indiquant peut-être que les acteurs de la menace ont tenté d’attirer des acheteurs ou des collaborateurs.
Ces vidéos ont été postées par des comptes parlant vietnamien et russe tout en utilisant le drapeau français, de sorte que la nationalité de l’acteur menaçant n’est pas concluante.