Cuidado: Anúncios falsos de emprego no Facebook espalham 'Ov3r_Stealer' para roubar criptomoedas e credenciais
7 de Fevereiro de 2024

Os atores de ameaças estão aproveitando anúncios falsos de emprego no Facebook como isca para enganar possíveis alvos a instalarem um novo malware baseado em Windows chamado Ov3r_Stealer.

"Este malware é projetado para roubar credenciais e carteiras de criptomoedas e enviar essas informações para um canal no Telegram que o ator de ameaça monitora", informou a Trustwave SpiderLabs em um relatório compartilhado com o The Hacker News.

Ov3r_Stealer é capaz de sifonar o local baseado no endereço IP, informações de hardware, senhas, cookies, informações de cartão de crédito, preenchimentos automáticos, extensões de navegador, carteiras de criptomoedas, documentos do Microsoft Office e uma lista de produtos antivírus instalados no host comprometido.

Enquanto o objetivo final da campanha é desconhecido, é provável que as informações roubadas sejam oferecidas para venda a outros atores de ameaça.

Outra possibilidade é que Ov3r_Stealer possa ser atualizado ao longo do tempo para atuar como um carregador tipo QakBot para payloads adicionais, incluindo ransomware.

O início do ataque é um arquivo PDF armado que pretende ser um arquivo hospedado no OneDrive, instigando os usuários a clicar em um botão "Acessar Documento" embutido nele.

Trustwave afirmou que identificou o arquivo PDF sendo compartilhado por uma conta falsa do Facebook que se passa pelo CEO da Amazon, Andy Jassy, bem como por anúncios no Facebook para trabalhos de publicidade digital.

Os usuários que acabam clicando no botão são direcionados a um arquivo de atalho da internet (.URL) que se disfarça de um documento DocuSign hospedado na rede de entrega de conteúdo (CDN) do Discord.

O arquivo de atalho então age como um conduto para entregar um arquivo de item de painel de controle (.CPL), que é então executado usando o processo binário do Painel de Controle do Windows ("control.exe").

A execução do arquivo CPL leva à recuperação de um carregador PowerShell ("DATA1.txt") de um repositório GitHub para finalmente lançar o Ov3r_Stealer.

Vale a pena notar nesta fase que uma cadeia de infecção quase idêntica foi recentemente divulgada pela Trend Micro como tendo sido usada por atores de ameaça para lançar outro stealer chamado Phemedrone Stealer explorando a falha de bypass do Windows Defender SmartScreen ( CVE-2023-36025 , pontuação CVSS: 8.8).

As similaridades se estendem ao repositório Github usado (nateeintanan2527) e ao fato de Ov3r_Stealer compartilhar sobreposições de código com o Phemedrone.

"Esse malware foi recentemente relatado e pode ser que o Phemedrone foi reaproveitado e renomeado para Ov3r_Stealer", disse a Trustwave.

"A principal diferença entre os dois é que o Phemedrone é escrito em C#."

Reforçando ainda mais as conexões entre os dois malwares stealer, o ator de ameaças foi observado compartilhando relatórios de notícias publicados sobre o Phemedrone Stealer em seus canais no Telegram em um esforço para construir "credibilidade" para seu negócio de malware-as-a-service (MaaS).

"Meu stealer personalizado está nas noticias, mostrando o quão evasivo ele é, eu sou o desenvolvedor dele, estou tão feliz agora", disse o ator de ameaças, que se identifica online como Liu Kong.

Ele também expressou frustração pelo fato de caçadores de ameaça terem conseguido "reverter toda a cadeia de exploração" apesar de tudo estar "na memória".

As descobertas surgem quando a Hudson Rock revelou que os atores de ameaças estão anunciando seu acesso aos portais de solicitação de aplicação da lei de grandes organizações como Binance, Google, Meta e TikTok explorando credenciais obtidas de infecções por infostealer.

Eles também seguem o surgimento de uma categoria de infecções chamada CrackedCantil que aproveita software crackeado como um vetor de acesso inicial para distribuir carregadores como PrivateLoader e SmokeLoader, que atuam como um mecanismo de entrega para ladrões de informações, mineradores de criptomoedas, botnets de proxy e ransomware.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...