Facebook
Facebook
Bildquelle: FuzzyLogic, thx!

Ov3r_Stealer verbreitet sich über Facebook-Anzeigen

Eine neue Malware namens Ov3r_Stealer klaut Passwörter, leert Konten und Krypto-Wallets. Die Daten werden an einen Telegram-Bot übertragen.

Derzeit treibt eine neuartige Malware mit Namen Ov3r_Stealer ihr Unwesen. Die Schadsoftware setzt man dafür ein, Passwörter zu kopieren, die Wallets in Online-Kryptobörsen zu entleeren und die Logindaten von Bankkontos etc. zu erhalten. Sie verbreitet sich massenhaft über gefälschte Stellenanzeigen auf Facebook. Laut Trustwave wurden auch zahlreiche Phishing-E-Mails dafür verschickt.

Die gefälschten Stellenanzeigen betreffen Management-Positionen und sind harmlos, so lange man nicht auf den enthaltenen Link klickt. In dem Fall führen sie die Nutzer zu einer Discord-URL, wo ein PowerShell-Skript die Malware aus einem GitHub-Repository herunterlädt. Die Analysten von Trustwave haben den Ov3r_Stealer entdeckt. Die Taktik an sich sei zwar nicht neu. Aber aufgrund der Beliebtheit von Facebook stelle die Schadsoftware eine ernsthafte Bedrohung dar, die viele Menschen betreffen kann, hieß es in der Bewertung der IT-Dienstleister.

Ov3r_Stealer
Von wegen Job zu vergeben. Die Facebook-Nutzer sollen lediglich
dazu animieren, die Links der Anzeigen anzuklicken. Quelle, thx!

Wie infiziert der Ov3r_Stealer die PCs?

Man lockt die Opfer über eine Facebook-Stellenanzeige an. Dort werden sie aufgefordert, sich für eine offene Stelle als Account Manager in der digitalen Werbebranche zu bewerben. Die Anzeige verlinkt dabei auf eine PDF-Datei, die der Cyberkriminelle bei OneDrive gespeichert hat.

Doch statt die Jobdetails herunterzuladen, löst eine Discord-Umleitung den Download einer PowerShell-Datei aus. Sie tarnt sich als Windows-Systemsteuerung und lädt bei der Ausführung weitere Schadsoftware herunter, um den Computer endgültig zu übernehmen. Laut der Analysten findet der Transfer der Malware insgesamt über vier verschiedene Wege statt.

Diebstahl und Exfiltration

Der Ov3r_Stealer versucht nach der Infektion, Daten aus einer breiten Palette von Anwendungen zu kopieren, darunter Kryptowährungs-Wallet-Apps, Webbrowser, Browser-Erweiterungen, Discord, den FTP-Client Filezilla und viele andere. Darüber hinaus inspiziert die Malware die Konfiguration der Systemdienste in der Windows-Registrierung, möglicherweise um potenzielle Ziele zu identifizieren.

Die Malware kann in allen lokalen Verzeichnissen gezielt nach Dokumenten suchen. Die erbeuteten Daten werden mitsamt der Geolokalisation des Opfers und einer übersichtlichen Zusammenfassung alle 90 Minuten an einen Telegram-Bot übertragen, den die Cyberkriminellen kontrollieren. Das Opfer bekommt davon nichts mit.

Herkunft des Ov3r_Stealers

Trustwave konnte die Schadsoftware mit mehreren Nutzernamen in Verbindung bringen, die in einschlägigen Foren zum Thema Software-Cracking auftauchen. Darüber hinaus stellen die Forscher Code-Ähnlichkeiten zwischen dem Ov3r_Stealer und Phemedrone fest, der als Grundlage für die neue Malware verwendet worden sein könnte. Offenbar haben die Ersteller versucht, durch ins Netz gestellte Demo-Videos Käufer und Mitbetreiber ihrer Software zu finden. Die Nationalität der Programmierer konnte man aber bisher nicht eindeutig feststellen.

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.