Programa malicioso Ov3r_Stealer

Los actores de amenazas están explotando anuncios de trabajo falsos en Facebook para engañar a víctimas potenciales para que instalen sin saberlo un nuevo malware basado en Windows conocido como Ov3r_Stealer. Este software amenazante está diseñado específicamente para robar credenciales y billeteras criptográficas, reenviando los datos recopilados a un canal de Telegram monitoreado por el actor de la amenaza.

Ov3r_Stealer exhibe una amplia gama de capacidades, incluida la extracción de ubicación basada en direcciones IP, información de hardware, contraseñas, cookies, detalles de tarjetas de crédito, datos de autocompletar, extensiones de navegador, billeteras criptográficas, documentos de Microsoft Office y una lista de seguridad instalada. productos en el host comprometido.

Aunque el objetivo final de esta campaña aún no está claro, la información obtenida probablemente se esté ofreciendo a la venta a otros actores de amenazas. Alternativamente, Ov3r_Stealer puede sufrir actualizaciones con el tiempo, transformándose potencialmente en un cargador similar a QakBot , facilitando la implementación de cargas útiles adicionales, como el ransomware.

La cadena de ataque que implementa el malware Ov3r_Stealer

El ataque comienza con un archivo PDF armado, que se presenta falsamente como un documento almacenado en OneDrive. Alienta a los usuarios a hacer clic en el botón "Acceder al documento" integrado en él. Los investigadores han identificado la distribución de este archivo PDF a través de una cuenta engañosa de Facebook que se hace pasar por el director ejecutivo de Amazon, Andy Jassy, y anuncios fraudulentos de Facebook que anuncian posiciones publicitarias digitales.

Al hacer clic en el botón, los usuarios reciben un archivo de acceso directo a Internet (.URL) disfrazado de un documento de DocuSign alojado en la red de entrega de contenido (CDN) de Discord. Este archivo de acceso directo sirve como vía para entregar un archivo de elemento del panel de control (.CPL), que luego se ejecuta utilizando el proceso binario del Panel de control de Windows ('control.exe').

La ejecución del archivo CPL inicia la recuperación de un cargador de PowerShell ('DATA1.txt') de un repositorio de GitHub, lo que finalmente conduce al lanzamiento de Ov3r_Stealer.

Similitudes entre Ov3r_Stealer y otras amenazas de malware

Los investigadores de ciberseguridad destacan que los actores de amenazas emplearon una cadena de infección casi idéntica para implementar otro ladrón conocido como Phemedrone Stealer, explotando la vulnerabilidad de derivación SmartScreen de Microsoft Windows Defender (CVE-2023-36025, puntuación CVSS: 8,8). El parecido va más allá, con la utilización del repositorio de GitHub (nateeintanan2527) y la presencia de similitudes a nivel de código entre Ov3r_Stealer y Phemedrone. Es concebible que Phemedrone haya sido reutilizado y renombrado como Ov3r_Stealer, con la principal distinción de que Phemedrone está codificado en C#.

Para reforzar los vínculos entre los dos malware ladrones, se ha observado que el actor de amenazas comparte informes de noticias sobre Phemedrone Stealer en sus canales de Telegram para mejorar la "credibilidad callejera" de su negocio de malware como servicio (MaaS).

Uno de los mensajes observados dice: 'Mi ladrón de costumbres está apareciendo en los titulares, mostrando su evasión. Soy el desarrollador detrás de esto y estoy muy emocionado en este momento". Los actores de amenazas expresan frustración por el hecho de que a pesar de sus esfuerzos por mantener todo "en la memoria", los cazadores de amenazas lograron "revertir toda la cadena de exploits".

¿Cómo se pueden evitar los ataques de phishing que generan amenazas de malware?

Evitar ataques de phishing que generen amenazas de malware requiere una combinación de vigilancia, concientización y la adopción de mejores prácticas para la seguridad en línea. A continuación se detallan algunos pasos clave que los usuarios pueden tomar para protegerse de ser víctimas de ataques de phishing:

• Sea escéptico con los correos electrónicos no solicitados : evite abrir correos electrónicos de remitentes desconocidos.
• Tenga cuidado incluso si el correo electrónico parece provenir de una fuente conocida; verifique la dirección de correo electrónico del remitente en caso de duda.
• Verificar URL y enlaces : coloque el cursor sobre los enlaces de correo electrónico para obtener una vista previa de la URL antes de hacer clic.
• Verifique la legitimidad del sitio web comparando la URL del correo electrónico con la dirección del sitio web oficial.
• Verifique el contenido del correo electrónico en busca de señales de alerta : busque errores ortográficos y gramaticales, que pueden indicar intentos de phishing. Tenga cuidado con el lenguaje urgente o amenazante que lo presione a tomar medidas inmediatas.
• Actualice y use software de seguridad : mantenga actualizado su sistema operativo, software antimalware y aplicaciones. Utilice software de seguridad confiable para brindar protección en tiempo real contra malware.
• Prepárese y manténgase informado : manténgase informado sobre las últimas tácticas de phishing y amenazas de malware. Infórmese sobre los indicadores comunes de phishing, como saludos genéricos y solicitudes de información confidencial.
• Tenga cuidado con los archivos adjuntos : evite abrir archivos adjuntos de fuentes desconocidas o inesperadas. Corroborar la legitimidad del remitente antes de descargar o abrir archivos adjuntos.
• Esté atento a las tácticas de ingeniería social : tenga cuidado con las solicitudes de información confidencial, especialmente contraseñas o detalles financieros. Verifique la identidad de personas u organizaciones que realicen solicitudes inusuales a través de un canal confiable.

Al incorporar estas prácticas en su comportamiento en línea, puede reducir significativamente el riesgo de ser víctima de ataques de phishing que generan amenazas de malware. Mantenerse alerta y actualizar continuamente sus conocimientos sobre las mejores prácticas de ciberseguridad es crucial en el panorama en constante evolución de las amenazas en línea.