Falsi annunci di lavoro su Facebook diffondono il malware Ov3r_Stealer

I ricercatori di SpiderLab di Trustwave durante la campagna investigativa Advanced Continual Threat Hunt (ACTH) hanno scoperto un nuovo malware denominato Ov3r_Stealer progettato per rubare credenziali e wallet di criptovalute inviandoli su di un canale Telegram presidiato dall’attore della minaccia.

Il flusso di attacco

Il vettore di attacco iniziale per questo malware al momento della scoperta sarebbe stato un annuncio di lavoro su Facebook per una posizione di Account Manager che invitava l’utente ad aprire un file pdf ospitato su OneDrive.

In realtà agli utenti che finiscono per cliccare sul pulsante “Access Document” veniva servito un file link Internet (.URL) mascherato da documento DocuSign ospitato su di una CDN di Discord. 

Fonte SpiderLab di Trustwave

Il file link serviva dunque a fornire il file “pdf2.cpl” la cui esecuzione portava al recupero, da un repository GitHub, di un loader PowerShell offuscato “DATA1.txt” deputato all’avvio del payload finale costituito da tre file:

  • WerFaultSecure.exe (si tratta di un eseguibile legittimo di Windows)
  • Wer.dll (si tratta di un file che WerFaultSecure carica e che è effettivamente dannoso)
  • Secure.pdf (contiene il codice dannoso che la DLL caricherà)

In questo attacco sideloading DLL, il codice dannoso è contenuto nel file Wer.dll. Una volta eseguito, il malware stabilisce la persistenza per assicurarsi di essere sempre in esecuzione ed esfiltrare dati specifici nel canale Telegram monitorato.“, afferma il rapporto.

Persistenza ed esfiltrazione dati

Una volta che il malware viene caricato sul sistema ed eseguito, viene creato un meccanismo di persistenza tramite un’attività pianificata per eseguire il malware ogni 90 minuti ed esfiltrare tipi specifici di dati come Indirizzi IP (per la geolocalizzazione), informazioni hardware, password, cookie, riempimenti automatici, estensioni del browser, documenti di Office e informazioni sui prodotti antivirus.

Quello che succede dopo è un po’ ignoto, ma tutte queste informazioni potrebbero essere vendute al miglior offerente oppure c’è la possibilità che il malware, come molti altri prima di lui, si modularizzi e venga successivamente utilizzato come dropper per altri malware o strumenti di post exploit, fino ad arrivare al ransomware.”

Misure di mitigazione

L’indagine oltre ha portare all’evidenza che he Ov3r_Stealer condivida sovrapposizioni a livello di codice con Phemedrone un malware open source ma scritto in C#, un linguaggio di programmazione diverso, ha portato anche alla scoperta di altri metodi di caricamento del malware sui sistemi colpiti tra cui HTML Smuggling, SVG Smuggling e il mascheramento di file LNK. L’attribuzione invece risulta difficile poiché l’attore della minaccia cambia spesso il proprio alias, lingua scritta (usato prevalentemente il vietnamita) e bandiere.
Per mitigare questi tipi di attacchi, Trustwave consiglia pertanto di avviare programmi di sensibilizzazione alla sicurezza e audit e patching regolari di applicazioni e sistemi.

Su Salvatore Lombardo 166 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.