Ov3r_Stealer
またもや、新しいマルウェアの活動が確認されています。
Ov3r_Stealerは、インフォスティーラー型マルウェアです。
どんなものでしょうか。
- 目的
各種のアカウント情報と暗号通貨を盗むことが目的です。
暗号通貨ウォレットアプリ、Webブラウザ、ブラウザ拡張機能、Discord、Filezillaなどがターゲットとなっています。 - 感染の流れ
被害者がFacebook上の偽の求人広告に誘導されることで始まり、PDFを開いただけのつもりが、Discord URLに誘導され、そこでPowerShellスクリプトを読み込み、それがマルウェアペイロードをダウンロードします。 - 読み込み方法の種類
いくつもの方法を駆使し、マルウェアを構成するものを環境に読み込みます。
使われるのは、コントロールパネルのモジュールに見える悪意のあるPowershellスクリプト、Base64でエンコードされたZIPファイルを含む武器化されたHTMLファイル、テキストファイルに見えるように細工されたLNKファイル、RARファイルが埋め込まれたSVGファイルです。 - 読み込まれるもの
正規のWindows実行可能ファイル(WerFaultSecure.exe)、DLLサイドローディング用のDLL(Wer.dll)、悪意のあるコードを含むドキュメント(Secure.pdf)のセットです。 - 定期動作
マルウェアは、勝手に仕掛けられたスケジュールによって定期的に動作します。
スケジュールには、Licensing2というタスク名がつけられていました。
周期は90分です。
送信にはTelegramが利用されますので、通信は暗号化されています。
魅力的な求人広告だと思ったら釣り針だった、というお話でした。
被害者としては、PDFを開いただけなのに、です。
悪意あるモジュールは、いろいろなところに埋め込むことができそうです。
参考記事(外部リンク):Facebook Advertising Spreads Novel Malware Variant
www.trustwave.com/hubfs/Web/Library/Documents_pdf/FaceBook_Ad_Spreads_Novel_Malware.pdf
