Trustwave Spider Labs’ relatório recente descobriu o uso de anúncios de emprego falsos no Facebook para atrair as vítimas a instalar um novo malware ladrão baseado no Windows chamado Ov3r_Stealer.
Modo Operacional do Malware Ov3r_Stealer
Ov3r_Stealer é um malware multifacetado projetado para roubar informações confidenciais, como credenciais, carteiras criptográficas, e detalhes pessoais de sistemas comprometidos. Uma vez instalado, o malware exfiltra os dados roubados para um canal do Telegram, permitindo que os agentes de ameaças monitorem e explorem as informações comprometidas para fins nefastos.
O modus operandi desta campanha maliciosa começa com um arquivo PDF transformado em arma, disfarçado de documento legítimo hospedado no OneDrive. Os usuários são solicitados a clicar em um arquivo incorporado “Documento de acesso” botão dentro do PDF, levando-os por um caminho traiçoeiro de engano. Subseqüentemente, as vítimas são orientadas a baixar um arquivo de atalho da Internet disfarçado como um documento DocuSign da rede de distribuição de conteúdo do Discord (CDN). Este arquivo de atalho atua como um canal para entregar um arquivo de item do painel de controle, qual, quando executado, aciona a instalação do Ov3r_Stealer por meio de um carregador do PowerShell recuperado de um repositório GitHub.
O que diferencia esta campanha é a utilização de contas falsas do Facebook se passando por figuras proeminentes como o CEO da Amazon, Andy Jassy, bem como anúncios enganosos no Facebook para trabalhos de publicidade digital, para disseminar o arquivo PDF malicioso. Essa tática não apenas aumenta o alcance do ataque, mas também aumenta sua credibilidade, tornando mais provável que usuários desavisados sejam vítimas do esquema.
Ov3r_Stealer compartilha semelhanças com Phemedrone Stealer
além disso, as semelhanças entre Ov3r_Stealer e outro ladrão recentemente divulgado chamado Phemedrone Stealer levantam preocupações sobre um potencial ressurgimento de ameaças anteriormente conhecidas. Ambas as variantes de malware compartilham sobreposições em nível de código e exploram cadeias de infecção semelhantes, sugerindo uma possível redefinição do Phemedrone para Ov3r_Stealer. Isto sublinha a adaptabilidade e a desenvoltura dos agentes de ameaças na reorganização do malware existente para evitar a detecção e prolongar as suas actividades maliciosas..
Também é digno de nota que foram observados agentes de ameaças aproveitando notícias sobre o Phemedrone Stealer para reforçar a credibilidade de seu malware como serviço. (MaaS) negócios nos canais do Telegram. Isto demonstra um esforço concertado dos agentes de ameaças para promover e rentabilizar as suas atividades ilícitas, exacerbando ainda mais o cenário da segurança cibernética.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: