La société de cybersécurité Trustwave SpiderLabs a découvert un nouveau malware nommé Ov3r_Stealer lors d’une enquête de campagne Advanced Continual Threat Hunt (ACTH) début décembre 2023.
Ov3r_Stealer est conçu par des acteurs malveillants et est conçu dans le but néfaste de voler des informations d’identification sensibles et des portefeuilles de crypto-monnaie à des victimes sans méfiance et de les envoyer vers un canal Telegram surveillé par l’acteur menaçant.
Le vecteur d’attaque initial remonte à une offre d’emploi trompeuse sur Facebook se faisant passer pour une opportunité pour un poste de gestionnaire de compte. Des individus intrigués, sans se douter de la menace imminente, ont été incités à cliquer sur des liens intégrés dans la publicité, les redirigeant vers une URL malveillante de diffusion de contenu Discord.
« Pour que le vecteur d’attaque initial Malvertisement soit réalisé sur l’environnement d’une victime, l’utilisateur devrait cliquer sur le lien fourni dans la publicité. De là, ils seraient redirigés via un service de raccourcissement d’URL vers un CDN. Le CDN observé dans les cas que nous avons observés était cdn.discordapp.com », a déclaré Greg Monson, responsable de l’équipe de renseignement sur les cybermenaces de Trustwave SpiderLabs, à Metaverse Post.
« À partir de là, la victime peut être amenée à télécharger la charge utile d’Ov3r_Stealer. Une fois téléchargé, il récupérera la charge utile suivante sous forme de fichier du panneau de configuration Windows (.CPL). Dans le cas observé, le fichier.CPL se connecte à un référentiel GitHub via un script PowerShell pour télécharger des fichiers malveillants supplémentaires », a ajouté Monson.
Il est important de noter que le chargement du logiciel malveillant sur le système inclut la contrebande HTML, la contrebande SVG et le masquage de fichiers LNK. Une fois exécuté, le malware crée un mécanisme de persistance via une tâche planifiée et s’exécute toutes les 90 secondes.
Les cybermenaces croissantes incitent à des mesures de sécurité proactives
Ces malwares exfiltrent des données sensibles telles que la géolocalisation, les mots de passe, les détails de carte de crédit et bien plus encore vers un canal Telegram surveillé par les acteurs malveillants, soulignant l’évolution du paysage des cybermenaces et l’importance de mesures de cybersécurité proactives.
« Bien que nous ne soyons pas conscients des intentions de l’auteur de la menace derrière la collecte des informations volées via ce malware, nous avons vu des informations similaires être vendues sur divers forums du Dark Web. Les informations d’identification achetées et vendues sur ces plates-formes peuvent constituer un vecteur d’accès potentiel permettant aux groupes de ransomwares de mener des opérations », a déclaré Greg Monson de Trustwave SpiderLabs à Metaverse Post.
« En ce qui concerne les spéculations sur les intentions de l’acteur menaçant que nous suivions, une motivation potentielle pourrait être de récolter des informations d’identification de compte sur divers services, puis de les partager et/ou de les vendre via Telegram dans le « Golden Dragon Lounge ». Les utilisateurs de ce groupe de télégrammes sollicitent souvent différents services, tels que Netflix, Spotify, YouTube et cPanel », a-t-il ajouté.
De plus, l’enquête menée par l’équipe a conduit à divers pseudonymes, canaux de communication et référentiels utilisés par les acteurs de la menace, notamment des pseudonymes comme « Liu Kong », « MR Meta », MeoBlackA et « John Macollan » trouvés dans des groupes comme « Pwn3rzs Chat ». », « Golden Dragon Lounge », « Data Pro » et « Forums du KGB ».
Le 18 décembre, le malware a été connu du public et a été signalé dans VirusTotal.
« L’incertitude quant à la manière dont les données seront utilisées ajoute certaines complications du point de vue de l’atténuation, mais les mesures qu’une organisation doit prendre pour y remédier devraient être les mêmes. Former les utilisateurs à identifier les liens potentiellement malveillants et à appliquer des correctifs de sécurité pour les vulnérabilités est l’une des premières mesures qu’une organisation devrait prendre pour prévenir une attaque de ce type », a déclaré Monson.
“Dans le cas où un logiciel malveillant doté de ce type de capacité serait détecté, il serait conseillé de réinitialiser le mot de passe des utilisateurs concernés, car ces informations pourraient être utilisées dans une attaque secondaire avec des implications plus importantes”, a-t-il ajouté.
Un autre malware, Phemadrone, partage toutes les caractéristiques d’Ov3r_Stealer mais est écrit dans un langage différent (C#). Il est recommandé de rechercher par télémétrie pour identifier toute utilisation potentielle de ce logiciel malveillant et de ses variantes dans les systèmes, même si les IOC répertoriés ne sont peut-être pas pertinents pour les attaques de logiciels malveillants actuelles.
