L
Lars Sobiraj
Guest
Eine neue Malware namens Ov3r_Stealer klaut Passwörter, leert Konten und Krypto-Wallets. Die Daten werden an einen Telegram-Bot übertragen.
Derzeit treibt eine neuartige Malware mit Namen Ov3r_Stealer ihr Unwesen. Die Schadsoftware setzt man dafür ein, Passwörter zu kopieren, die Wallets in Online-Kryptobörsen zu entleeren und die Logindaten von Bankkontos etc. zu erhalten. Sie verbreitet sich massenhaft über gefälschte Stellenanzeigen auf Facebook. Laut Trustwave wurden auch zahlreiche Phishing-E-Mails dafür verschickt.
Die gefälschten Stellenanzeigen betreffen Management-Positionen und sind harmlos, so lange man nicht auf den enthaltenen Link klickt. In dem Fall führen sie die Nutzer zu einer Discord-URL, wo ein PowerShell-Skript die Malware aus einem GitHub-Repository herunterlädt. Die Analysten von Trustwave haben den Ov3r_Stealer entdeckt. Die Taktik an sich sei zwar nicht neu. Aber aufgrund der Beliebtheit von Facebook stelle die Schadsoftware eine ernsthafte Bedrohung dar, die viele Menschen betreffen kann, hieß es in der Bewertung der IT-Dienstleister.
Von wegen Job zu vergeben. Die Facebook-Nutzer sollen lediglich
dazu animieren, die Links der Anzeigen anzuklicken. Quelle, thx!
Wie infiziert der Ov3r_Stealer die PCs?
Man lockt die Opfer über eine Facebook-Stellenanzeige an. Dort werden sie aufgefordert, sich für eine offene Stelle als Account Manager in der digitalen Werbebranche zu bewerben. Die Anzeige verlinkt dabei auf eine PDF-Datei, die der Cyberkriminelle bei OneDrive gespeichert hat.
Doch statt die Jobdetails herunterzuladen, löst eine Discord-Umleitung den Download einer PowerShell-Datei aus. Nach dem automatischen Start der Windows-Systemsteuerungsdatei lädt diese weitere Schadsoftware herunter, um den Computer endgültig zu übernehmen. Laut der Analysten findet der Transfer der Malware über vier verschiedene Wege statt.
Diebstahl und Exfiltration
Der Ov3r_Stealer versucht nach der Infektion, Daten aus einer breiten Palette von Anwendungen zu kopieren, darunter Kryptowährungs-Wallet-Apps, Webbrowser, Browser-Erweiterungen, Discord, den FTP-Client Filezilla und viele andere. Darüber hinaus inspiziert die Malware die Konfiguration der Systemdienste in der Windows-Registrierung, möglicherweise um potenzielle Ziele zu identifizieren.
Die Malware kann in allen lokalen Verzeichnissen gezielt nach Dokumenten suchen. Die erbeuteten Daten werden mitsamt der Geolokalisation des Opfers und einer übersichtlichen Zusammenfassung alle 90 Minuten an einen Telegram-Bot übertragen, den die Cyberkriminellen kontrollieren. Das Opfer bekommt davon nichts mit.
Herkunft des Ov3r_Stealers
Trustwave konnte die Schadsoftware mit mehreren Nutzernamen in Verbindung bringen, die in einschlägigen Foren zum Thema Software-Cracking auftauchen. Darüber hinaus stellen die Forscher Code-Ähnlichkeiten zwischen dem Ov3r_Stealer und Phemedrone fest, der als Grundlage für die neue Malware verwendet worden sein könnte. Offenbar haben die Ersteller versucht, durch ins Netz gestellte Demo-Videos Käufer und Mitbetreiber ihrer Software zu finden. Die Nationalität der Programmierer konnte man aber bisher nicht eindeutig feststellen.
Tarnkappe.info
Der Artikel Ov3r_Stealer verbreitet sich über Facebook-Anzeigen erschien zuerst auf Tarnkappe.info
Lese weiter....