Sebuah novel malware pencuri disebut "Ov3r_Stealer" sedang beredar di Facebook, menyebar melalui iklan pekerjaan dan akun di platform media sosial, dan menggunakan berbagai metode eksekusi untuk mencuri banyak data dari korban tanpa disadari.

Malware ini dirancang untuk mengekstrak jenis data tertentu seperti geolokasi (berdasarkan IP), info perangkat keras, kata sandi, cookie, informasi kartu kredit, pengisian otomatis, ekstensi browser, dompet kripto, dokumen Office, dan informasi produk antivirus, menurut para peneliti. dari Trustwave SpiderLabs. Ini mengirimkan informasi ke saluran Telegram yang dipantau oleh pelaku ancaman.

Para peneliti pertama kali menemukan pencuri tersebut pada awal Desember. Hal itu disebarkan melalui iklan pekerjaan di Facebook untuk posisi manajer akun, ungkap mereka dalam posting blog dan melaporkan diterbitkan minggu ini. Belakangan, mereka menemukan bahwa pelaku di balik malware tersebut juga menggunakan penipuan berbasis Facebook – termasuk pembuatan akun palsu – untuk menyebarkan malware tersebut.

Pada akhirnya, tautan bersenjata yang dikirimkan melalui iklan tersebut mengarah ke URL pengiriman konten Discord yang berbahaya, yang mengeksekusi pencuri menggunakan skrip PowerShell yang menyamar sebagai biner Windows Control Panel (CPL) untuk mengunduh malware, dalam bentuk tiga file dari GitHub lokasi.

Namun yang membedakan Ov3r_Stealer adalah memiliki beberapa metode eksekusi. Selain vektor PowerShell, Ov3r_Stealer juga dapat dieksekusi pada mesin korban melalui penyelundupan HTML, penyelundupan gambar SVG, dan file pintasan .LNK yang menyamar sebagai dokumen teks tidak berbahaya.

Menyusuri Lubang Kelinci Penyerang Siber

Setelah peneliti mengikuti data yang dicuri ke Telegram, mereka menemukan cerita asal usul yang agak rumit di balik Ov3r_Stealer, seperti malware tersebut tampaknya memiliki sejumlah pelaku ancaman di belakangnya yang berkonspirasi melalui berbagai saluran dan platform komunikasi.

Secara khusus, para peneliti mengungkap berbagai nama samaran, saluran komunikasi, dan penyimpanan data yang dicuri yang menyimpan petunjuk tentang siapa di baliknya dan bagaimana cara kerjanya.

“Alias ​​seperti 'Liu Kong,' 'MR Meta,' MeoBlackA, dan 'John Macollan' ditemukan di grup seperti 'Pwn3rzs Chat,' 'Golden Dragon Lounge,' 'Data Pro,' dan 'KGB Forums,' di mana banyak 'peneliti,' pelaku ancaman, dan orang-orang yang penasaran berkumpul, bertemu, dan bertukar peretasan, malware, dan perangkat lunak yang diretas setiap hari,” menurut laporan tersebut.

Tidak diketahui secara pasti bagaimana penyerang menggunakan data tersebut setelah dicuri, namun kemungkinannya termasuk menjualnya atau menggunakannya untuk phishing. Selain itu, Ov3r_Stealer juga dapat digunakan secara modular sebagai penetes malware lain atau alat pasca-eksploitasi, hingga dan termasuk ransomware, kata para peneliti.

Berbagai Strategi Eksekusi Ov3r_Stealer

Seperti disebutkan, setelah korban disusupi, pencuri menggunakan beberapa metode eksekusi unik; para peneliti mengamati satu dan mengambil beberapa lainnya dari kode sampel. Salah satu loader menggunakan file CPL Windows – yang umumnya digunakan untuk pengaturan sistem dalam Windows – untuk menjalankan skrip PowerShell jarak jauh guna mengunduh tiga file malware.

Metode lain yang ditunjukkan oleh data sampel adalah melalui penyelundupan HTML, yang menggunakan file HTML yang dipersenjatai, CustomCursor.html, untuk memuat file CustomCursor.zip yang berisi file malware.

Metode eksekusi ketiga adalah melalui file shortcut (.LNK). Korban diberikan file yang menyamar sebagai file teks biasa bernama Attitude_Reports.txt, yang terletak di dalam arsip zip. Namun, file sebenarnya dalam arsip zip adalah file .LNK berbahaya bernama Attitude_Reports.txt.lnk. Setelah dibuka, korban akan diarahkan ke repositori GitHub, seperti yang dilakukan pemuat CPL, untuk mengunduh muatan sebenarnya.

Penyerang juga menggunakan teknik yang disebut penyelundupan SVG untuk mengeksekusi file dengan metode yang mengeksploitasi file tersebut Kerentanan Eksekusi Kode WinRAR (CVE-2023-38831). Metode ini bekerja mirip dengan penyelundupan HTML, hanya saja file berbahaya tertanam dalam file grafik vektor (SVG). Ini mengalihkan ke file “Copyright_Report.svg” yang, setelah dibuka, menyematkan dan memuat file .RAR yang berisi file pintasan Windows .LNK untuk mengunduh skrip PowerShell guna mengirimkan muatan.

Muatan terakhir tersebut pada akhirnya dikirimkan dalam tiga file yang disarangkan: WerFaultSecure.exe, sebuah Windows sah yang dapat dieksekusi; Wer.dll, file berbahaya yang dimuat WerFaultSecure; dan Secure.pdf, yang berisi kode berbahaya yang akan dimuat Wer.dll.

Setelah dijalankan, malware akan membangun persistensi melalui penyalinan file-filenya ke folder C:UsersPublicLibrariesBooks dan pembuatan tugas terjadwal Windows yang disebut “Licensing2” yang berjalan setiap 90 menit untuk memastikan eksfiltrasi data berkelanjutan.

Malware Siap Menjadi Besar

Meskipun Trustwave belum melihat kampanye luas yang menggunakan malware ini, para peneliti yakin malware ini masih dalam pengembangan berkelanjutan dan terus menimbulkan ancaman yang ada. Mereka menyertakan daftar lengkap indikator kompromi (IoC) dalam laporan mereka untuk membantu organisasi mengidentifikasi malware di lingkungan mereka.

“Karena Ov3r_Stealer telah dikembangkan secara aktif dengan berbagai teknik pemuat, kami mungkin melihat teknik ini pada akhirnya akan dijual atau digunakan dalam kampanye lain di masa mendatang,” menurut laporan tersebut.

Untuk menghindari kompromi atau mengurangi serangan oleh Ov3r_Stealer, Trustwave merekomendasikan agar organisasi menerapkan “aktif dan menarik” program kesadaran keamanan untuk membantu orang mengenali kampanye jahat di media sosial dan strategi penyerang lainnya.

Organisasi juga harus melakukan audit dan baselining terhadap aplikasi dan layanan secara rutin, serta mempraktikkan patching aplikasi terkini untuk memitigasi ancaman, tambah para peneliti. Selanjutnya, mereka harus terus menerus ancaman perburuan di seluruh lingkungan mereka untuk mengambil kompromi yang tidak terdeteksi sebelum mereka mempunyai waktu untuk melakukan kerusakan, mereka menambahkan.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/endpoint-security/novel-ov3r_stealer-spreads-facebook-steal-info