Trustwave SpiderLabs’ Un informe reciente descubrió el uso de anuncios de empleo falsos en Facebook para atraer a las víctimas a instalar un nuevo malware ladrón basado en Windows llamado Ov3r_Stealer..
Modo de funcionamiento del malware Ov3r_Stealer
Ov3r_Stealer es un malware multifacético diseñado para robar información confidencial como credenciales, carteras criptográficas, y detalles personales de sistemas comprometidos. Una vez instalado, El malware extrae los datos robados a un canal de Telegram., permitir que los actores de amenazas monitoreen y exploten la información comprometida con fines nefastos.
El modus operandi de esta campaña maliciosa comienza con un archivo PDF disfrazado de documento legítimo alojado en OneDrive.. Se solicita a los usuarios que hagan clic en un elemento incrustado. “Documento de acceso” botón dentro del PDF, llevándolos por un camino traicionero de engaño. Después, Se dirige a las víctimas a descargar un archivo de acceso directo a Internet disfrazado de documento DocuSign de la red de entrega de contenido de Discord. (CDN). Este archivo de acceso directo actúa como un conducto para entregar un archivo de elemento del panel de control., cual, cuando se ejecuta, desencadena la instalación de Ov3r_Stealer a través de un cargador de PowerShell recuperado de un repositorio de GitHub.
Lo que distingue a esta campaña es su utilización de Cuentas falsas de Facebook que se hacen pasar por personajes destacados. como el director ejecutivo de Amazon, Andy Jassy, así como anuncios engañosos en Facebook para trabajos de publicidad digital, para difundir el archivo PDF malicioso. Esta táctica no sólo aumenta el alcance del ataque sino que también mejora su credibilidad., haciendo que sea más probable que los usuarios desprevenidos sean víctimas del plan.
Ov3r_Stealer comparte similitudes con Phemedrone Stealer
Además, Las similitudes entre Ov3r_Stealer y otro ladrón recientemente revelado llamado Phemedrone Stealer plantean preocupaciones sobre un posible resurgimiento de amenazas previamente conocidas.. Ambas variantes de malware comparten superposiciones a nivel de código y explotan cadenas de infección similares., sugiriendo una posible reutilización de Phemedrone en Ov3r_Stealer. Esto subraya la adaptabilidad y el ingenio de los actores de amenazas a la hora de reempaquetar el malware existente para evadir la detección y prolongar sus actividades maliciosas..
También es digno de mención que se ha observado que los actores de amenazas aprovechan las noticias sobre Phemedrone Stealer para reforzar la credibilidad de su malware como servicio. (MaaS) negocios en los canales de Telegram. Esto demuestra un esfuerzo concertado por parte de los actores de amenazas para promover y monetizar sus actividades ilícitas., exacerbando aún más el panorama de la ciberseguridad.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: