サイバーセキュリティ研究者たちは、偽のFacebookの求人広告を通じて新しいWindowsベースのスティーラーマルウェア「Ov3r_Stealer」を拡散し、暗号資産と認証情報を盗むキャンペーンを発見しました。このマルウェアは、IPアドレスに基づく位置情報、ハードウェア情報、パスワード、クッキー、クレジットカード情報、自動入力データ、ブラウザ拡張機能、暗号資産ウォレット、Microsoft Office文書、インストールされているアンチウイルス製品のリストなどを盗み出し、脅威アクターが監視するTelegramチャンネルに送信します。
攻撃の開始点は、OneDrive上にホストされていると偽装したPDFファイルで、ユーザーに「ドキュメントにアクセス」ボタンをクリックさせます。このPDFファイルは、AmazonのCEOであるAndy Jassyを偽装した偽のFacebookアカウントや、デジタル広告の求人広告を通じて共有されています。ボタンをクリックしたユーザーには、Discordのコンテンツ配信ネットワーク(CDN)上にホストされたDocuSign文書に見せかけたインターネットショートカット(.URL)ファイルが提供されます。このショートカットファイルは、Windowsのコントロールパネルプロセスバイナリ(”control.exe”)を使用して実行されるコントロールパネルアイテム(.CPL)ファイルを配信するための媒介として機能します。CPLファイルの実行により、GitHubリポジトリからPowerShellローダー(”DATA1.txt”)が取得され、最終的にOv3r_Stealerが起動されます。
このマルウェアは最近報告されたもので、以前に報告されたPhemedrone Stealerとコードレベルでの類似点がありますが、PhemedroneがC#で書かれているのに対し、Ov3r_Stealerは異なる点があります。盗まれた情報は他の脅威アクターに販売される可能性がある一方で、Ov3r_Stealerは時間をかけてQakBotのようなローダーに更新され、ランサムウェアを含む追加のペイロードを配信する可能性があります。
この発見は、脅威アクターがBinance、Google、Meta、TikTokなどの主要組織の法執行機関リクエストポータルへのアクセスを、情報窃盗マルウェア感染から得た認証情報を利用して広告していることがHudson Rockによって明らかにされたことに続くものです。また、クラックされたソフトウェアを初期アクセスベクトルとして利用し、PrivateLoaderやSmokeLoaderなどのローダーを配信することで、情報窃盗、暗号マイニング、プロキシボットネット、ランサムウェアへとつながる感染のカテゴリーであるCrackedCantilの出現にも続いています。
【ニュース解説】
偽のFacebook求人広告を通じて、新型のWindowsベースのスティーラーマルウェア「Ov3r_Stealer」が拡散されているという報告があります。このマルウェアは、ユーザーの個人情報や暗号資産のウォレット情報を盗み出し、脅威アクターが監視するTelegramチャンネルに送信する能力を持っています。攻撃の手口としては、OneDrive上にあると見せかけたPDFファイルを介してユーザーを騙し、最終的にはGitHubリポジトリからダウンロードされるPowerShellローダーを通じてOv3r_Stealerを実行します。
この種の攻撃は、個人情報の盗難だけでなく、暗号資産の盗難にもつながるため、非常に深刻なセキュリティ上の脅威となります。特に、暗号資産は取り返しがつかない形で失われる可能性があるため、被害の影響は計り知れません。また、盗まれた情報が他の脅威アクターに販売されることで、さらに多くのサイバー攻撃の起点となる可能性があります。
このマルウェアの拡散方法は、社会工学的手法によるものであり、ユーザーが信頼できると思われる情報源からのものだと錯覚させることで、警戒心を緩めさせます。このような攻撃に対抗するためには、ユーザー自身がセキュリティ意識を高め、怪しいリンクやファイルのダウンロードには慎重になる必要があります。
さらに、この報告は、法執行機関リクエストポータルへのアクセスを広告する脅威アクターや、クラックされたソフトウェアを利用した感染の増加など、サイバーセキュリティの脅威が多様化していることを示しています。これらの脅威に対処するためには、個人ユーザーだけでなく、企業や組織もセキュリティ対策を強化し、常に最新の脅威情報に注意を払う必要があります。
長期的な視点では、このようなマルウェアの出現は、サイバーセキュリティの技術や対策の進化を促すとともに、法的な規制や国際的な協力の重要性を再認識させる機会となります。サイバー犯罪は国境を越えるため、国際的な取り組みが不可欠であり、技術的な対策だけでなく、法的な枠組みの整備も求められます。
from Beware: Fake Facebook Job Ads Spreading 'Ov3r_Stealer' to Steal Crypto and Credentials.
