Anuncios de empleo falsos en Facebook difunden el malware «0v3r_Stealer» para robar criptomonedas y credenciales

0

Hackers difunden el malware 0v3rStealer a través de anuncios falsos de empleo en Facebook para robar credenciales y criptomonedas

Hackers utilizan correos falsos de Office 365 en campaña de phishing dirigida a ejecutivos de empresas de alto perfil

Los actores de amenazas están utilizando anuncios de empleo falsos en Facebook como cebo para engañar a posibles víctimas y lograr que instalen un nuevo malware ladrón llamado Ov3r_Stealer, diseñado para sistemas Windows.

Según un informe por Trustwave SpiderLabs, este malware tiene la capacidad de robar credenciales y carteras criptográficas, enviándolas a un canal de Telegram que el actor de amenazas monitorea.

Ov3r_Stealer es capaz de extraer información como la ubicación basada en la dirección IP, datos de hardware, contraseñas, cookies, información de tarjetas de crédito, autocompletados, extensiones de navegador, carteras criptográficas, documentos de Microsoft Office, y una lista de productos antivirus instalados en el host comprometido.

Aunque el objetivo final de la campaña no se conoce con certeza, es probable que la información robada se ofrezca a la venta a otros actores de amenazas. También existe la posibilidad de que Ov3r_Stealer se actualice con el tiempo para funcionar como un cargador similar a QakBot, llevando a cabo cargas útiles adicionales, incluido el ransomware.

El ataque comienza con un archivo PDF manipulado que se presenta como un documento alojado en OneDrive. El usuario es instado a hacer clic en un botón de «Acceder al documento» incrustado en el archivo.

Trustwave identificó que el PDF se compartía a través de una cuenta falsa de Facebook que pretendía ser el CEO de Amazon, Andy Jassy, así como a través de anuncios en Facebook para trabajos en publicidad digital.

Los usuarios que hacen clic en el botón son redirigidos a un archivo de acceso directo a Internet (.URL) que simula ser un documento de DocuSign alojado en la red de entrega de contenido (CDN) de Discord. Este archivo de acceso directo sirve como un conducto para entregar un archivo de elemento de panel de control (.CPL), que se ejecuta utilizando el proceso binario del Panel de control de Windows («control.exe«).

La ejecución del archivo CPL conduce a la descarga de un cargador de PowerShell («DATA1.txt») desde un repositorio de GitHub, que finalmente lanza Ov3r_Stealer.

Es relevante señalar que recientemente, Trend Micro reveló una cadena de infección casi idéntica utilizada por actores de amenazas para distribuir otro ladrón llamado Phemedrone Stealer, aprovechando una vulnerabilidad de bypass en Microsoft Windows Defender SmartScreen (CVE-2023-36025, puntuación CVSS: 8.8).

Las similitudes incluyen el uso del mismo repositorio de GitHub (nateeintanan2527) y el hecho de que Ov3r_Stealer comparte similitudes a nivel de código con Phemedrone.

«Este malware se informó recientemente, y podría ser que Phemedrone haya sido adaptado y renombrado como Ov3r_Stealer. La principal diferencia entre ambos es que Phemedrone está programado en C#», según Trustwave.

Estos descubrimientos coinciden con la revelación de Hudson Rock de que los actores de amenazas están anunciando su acceso a portales de solicitud de cumplimiento policial de importantes organizaciones como Binance, Google, Meta y TikTok, aprovechando credenciales obtenidas de infecciones por ladrones de información.

Además, siguen la aparición de una categoría de infecciones denominada CrackedCantil, que utiliza software pirateado como un vector de acceso inicial para distribuir cargadores como PrivateLoader y SmokeLoader. Estos actúan como mecanismos de entrega para ladrones de información, mineros de criptomonedas, botnets de proxy y ransomware.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *