พบ Malware ชื่อว่า Ov3r_Stealer บนโฆษณาของ Facebook

 

        malware ใหม่ที่ชื่อว่า Ov3r_Stealer กำลังแพร่กระจายผ่านโฆษณางานปลอมบน Facebook โดยมีเป้าหมายที่จะขโมยข้อมูลเข้าสู่บัญชีและเงินสกุลดิจิตอล

        โฆษณางานปลอม จะเป็นรูปแบบโฆษณาตำแหน่งงานที่เป็นตำแหน่ง management positions and lead users เมื่อคลิกที่โฆษณาจะลิงก์ผู้ใช้งานไปยัง URL ใน Discord ที่มีสคริปต์ PowerShell ที่ดาวน์โหลดโหลด malware จาก GitHub

        โดยที่นักวิเคราะห์จาก Trustwave บอกถึงการทำงาน malware ไม่ใช่รูปแบบเทคนิคใหม่ ๆ แต่ก็ยังเป็นภัยอันตรายต่อผู้ใช้งานมากมายเนื่องจากอยู่บน platform social network (facebook)

รูปแบบโฆษณาของ malware Ov3r_Stealer ที่ใช้งาน

        เหยื่อจะถูกดึงดูดผ่านโฆษณางานบน Facebook ที่เชิญชวนให้พวกเขาสมัครงานเป็นตำแหน่งผู้จัดการบัญชีในโฆษณา

        โฆษณาจะลิงก์ไปยังไฟล์ PDF ที่ Host บน OneDrive ที่เหมาะสมกับรายละเอียดงาน แต่การคลิกที่มันจะเรียกใช้การเปลี่ยนเส้นทาง Content delivery network (CDN) ของ Discord ที่ดาวน์โหลดไฟล์ชื่อ pdf2.cpl

        ไฟล์จะถูกปลอมให้ดูเหมือนเอกสาร DocumentSign แต่ในความเป็นจริงเป็นไฟล์ PowerShell ที่จะทำการ รัน Script เพื่อแฝงตัวฝังไว้ที่อุปกรณ์

    รูปแบบไฟล์ของ malware มี 4 รูปแบบ ได้แก่

        ไฟล์ Control Panel (CPL) ที่สามารถรัน Script PowerShell เพื่อ Remote จากระยะไกล
        ไฟล์ HTML ที่ถูกใส่รหัส base64 สำหรับ ZIP ที่มี malware หรือ ไฟล์ที่เป็นอันตรายอยู่ข้างใน
        ไฟล์ LNK ที่ถูกปลอมให้ดูเหมือนไฟล์ข้อความแต่ในความเป็นจริงมันเป็นลิงก์ดาวน์โหลด
        ไฟล์ SVG ที่มีการใส่ .RAR มีอยู่แล้ว (SVG smuggling)

        นอกจากนี้ยังมีไฟล์ WerFaultSecure.exe ที่ใช้ติดตั้ง ไฟล์ DLL ที่ใช้สำหรับโหลด DLL ชื่อ Wer.dll เอกสารที่มีการเขารหัสที่เป็นอันตรายชื่อ Secure.pdf

        Trustwave ได้แจ้งว่าหลังจากถูกโจมตีจาก malware   จะทำการรันคำสั่งเพิ่มไฟล์ที่ใช้ในการโจมตีชื่อว่า Licensing2 ไฟล์ถูกกำหนดให้ทำงานในเครื่องทุก ๆ 90 นาที           

การขโมยข้อมูลจากแหล่งข้อมูลอื่น ๆ

        Ov3r_Stealer พยายามขโมยข้อมูลจากแอปต่าง ๆ รวมถึงแอปกระเป๋าเงินดิจิตอล, บราวเซอร์เว็บ, ส่วนขยายบราวเซอร์, Discord, Filezilla และอื่น ๆ

        นอกจากนี้ malware ยังรวมถึงข้อมูลจากการตั้งค่าต่าง ๆ บน windows และด้านล่างนี้คือรายการแบบเต็มของแอปพลิเคชันและไดเรกทอรีที่ Ov3r_Stealer ตรวจสอบเพื่อรายการที่มีค่าที่สามารถนำออกได้

        

        malware นี้จะเก็บข้อมูลที่พบบนคอมพิวเตอร์ที่ถูกฝังตัวไว้ทุก ๆ 90 นาทีและส่งข้อมูลไปยังบอทของ Telegram ซึ่งรวมถึงข้อมูลตำแหน่งของเหยื่อ

ต้นกำเนิดของ Ov3r_Stealer

        Trustwave พบลิงก์ที่ส่งผ่านทาง Telegram ส่งไปยังชื่อผู้ใช้งานเฉพาะที่ปรากฏในฟอรัมที่เกี่ยวข้องกับการsoftware cracking และช่องทางที่เกี่ยวข้อง

        นอกจากนี้ นักวิจัยพบความคล้ายคลึงในรหัสระหว่าง Ov3r_Stealer และ Phemedrone, ซึ่งเป็นเครื่องมือสำหรับการเรียกขโมยข้อมูลที่เขียนด้วยภาษา C#

        Trustwave รายงานว่าพวกเขาได้ค้นพบวิดีโอสาธารณะที่แสดงการทำงานของ Malware   ซึ่งน่าจะเป็นการพยายามในการดึงดูดผู้ใช้งานที่ตามความสนใจ วิดีโอเถูกโพสต์โดยบัญชีที่ใช้ภาษาเวียดนามและรัสเซีย พร้อมกับการใช้ธงประจำชาติของฝรั่งเศส ดังนั้นสัญชาติของผู้โพสต์ยังระบุไม่ได้

Ref : bleepingcomputer