Un inedito malware denominato Ov3r_Stealer sta diffondendosi attraverso annunci di lavoro fasulli su Facebook, con l’obiettivo di sottrarre credenziali di accesso e criptovalute. Gli annunci propongono posizioni manageriali e indirizzano gli utenti verso un URL di Discord, dove uno script PowerShell scarica il payload del malware da un repository GitHub.
Il Processo di Infezione di Ov3r_Stealer
Le vittime vengono attirate da un annuncio di lavoro su Facebook che le invita a candidarsi per una posizione di Account Manager nel settore della pubblicità digitale. L’annuncio conduce a un file PDF ospitato su OneDrive, che sembra contenere i dettagli del lavoro, ma il suo clic innesca un reindirizzamento CDN di Discord che scarica un file denominato ‘pdf2.cpl’. Questo file, mascherato da documento DocuSign, è in realtà un payload PowerShell che sfrutta il file del Pannello di Controllo di Windows per l’esecuzione.
Gli analisti di Trustwave, che hanno scoperto la campagna di malware, osservano che, nonostante nessuna delle sue tattiche sia innovativa, rappresenta comunque una grave minaccia per molti potenziali vittime, data la popolarità di Facebook.
Furto ed Esfiltrazione dei Dati
Ov3r_Stealer mira a rubare dati da un’ampia gamma di applicazioni, inclusi portafogli di criptovalute, browser web, estensioni di browser, Discord, Filezilla e molti altri. Il malware raccoglie qualsiasi informazione disponibile sul computer infetto ogni 90 minuti e la invia a un bot di Telegram, inclusa l’informazione geolocalizzata della vittima e un riepilogo dei dati rubati.
Origine di Ov3r_Stealer
Trustwave ha trovato collegamenti tra il canale di esfiltrazione di Telegram e specifici nomi utente che appaiono in forum legati al cracking di software e comunità pertinenti. Inoltre, i ricercatori notano somiglianze nel codice tra Ov3r_Stealer e Phemedrone, un malware stealer in C#, che potrebbe essere stato usato come base per il nuovo malware.
La campagna malware sfrutta la popolarità di Facebook per diffondere Ov3r_Stealer tramite annunci di lavoro ingannevoli, rappresentando una seria minaccia per la sicurezza degli utenti.