Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas.
Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub.
Los analistas de Trustwave que descubrieron la campaña de malware señalan que aunque ninguna de sus tácticas es novedosa, sigue siendo una grave amenaza para muchas víctimas potenciales, dada la popularidad de Facebook como plataforma de redes sociales.
Cadena de Infección Ov3r_Stealer
Las víctimas son atraídas a través de un anuncio de trabajo en Facebook que las invita a postularse para un puesto de gerente de cuentas en publicidad digital.
El anuncio enlaza a un archivo PDF alojado en OneDrive que supuestamente contiene los detalles del trabajo pero al hacer clic en él, se activa una redirección de Discord CDN que descarga un archivo llamado ‘pdf2.cpl’.
Este archivo se hace pasar por un documento DocuSign, pero en realidad es una carga útil de PowerShell que explota el archivo del Panel de control de Windows para su ejecución.
En esta etapa, Trustwave observó cuatro métodos distintos de carga de malware, a saber:
- Archivos maliciosos del Panel de control (CPL) que ejecutan scripts remotos de PowerShell,
- Archivos HTML armados (contrabando de HTML) que contienen archivos ZIP codificados en base64 con contenido malicioso,
- Archivos LNK disfrazados de archivos de texto pero que en realidad actúan como accesos directos de descarga.
- Archivos SVG que contienen archivos .RAR incrustados (contrabando de SVG).
La carga útil final se compone de tres archivos: un ejecutable legítimo de Windows (WerFaultSecure.exe), una DLL que se utiliza para la descarga de DLL (Wer.dll) y un documento que contiene el código malicioso (Secure.pdf).
Trustwave informa que una vez ejecutado, el malware establece persistencia mediante comandos que agregan una tarea programada llamada “Licensing2”, que se ejecuta en las computadoras infectadas cada 90 minutos.
Robo y Exfiltración
Ov3r_Stealer intenta robar datos de una amplia gama de aplicaciones, incluidas aplicaciones de billetera de criptomonedas, navegadores web, extensiones de navegador, Discord, Filezilla y muchas otras.
Además, el malware inspecciona la configuración de los servicios del sistema en el Registro de Windows, posiblemente para identificar objetivos potenciales, y puede buscar archivos de documentos en directorios locales.
A continuación se muestra la lista completa de aplicaciones y directorios que Ov3r_Stealer examina en busca de entradas valiosas que pueda filtrar.
El malware recopila toda la información que puede encontrar en la computadora infectada cada 90 minutos y la envía a un bot de Telegram, incluida la información de geolocalización de la víctima y un resumen de los datos robados.
Origen Ov3r_Stealer
Trustwave ha encontrado vínculos entre el canal de exfiltración de Telegram y nombres de usuario específicos que aparecen en foros relacionados con el craqueo de software y comunidades relevantes.
Además, los investigadores notan similitudes de código entre Ov3r_Stealer y Phemedrone, un ladrón de C# que podría haber sido utilizado como base para el nuevo malware.
Trustwave dice que ha localizado vídeos de demostración del funcionamiento del malware, lo que posiblemente indica que los actores de la amenaza intentaron atraer compradores o colaboradores.
Estos videos fueron publicados por cuentas que hablaban vietnamita y ruso y al mismo tiempo usaban la bandera francesa, por lo que la nacionalidad del actor de la amenaza no es concluyente.