Los actores de amenazas utilizan anuncios falsos de trabajo en Facebook como anzuelo para engañar a nuevas víctimas y propagar el malware roba credenciales Ov3r_Stealer. Según Trustwave SpiderLabs, este malware está diseñado para comprometer la información personal de los usuarios y billeteras de criptomonedas, enviándolos a un canal de Telegram que el actor de la amenaza monitorea. Dependiendo del objetivo final de los ciberdelincuentes, esta información puede ser vendida a otros actores malintencionados o puede ser utilizada para cargar cargas útiles adicionales, incluyendo ransomware.
El ataque comienza con un archivo PDF malicioso que finge ser alojado en OneDrive y que insta a los usuarios a hacer clic en un botón «Acceder al documento» incrustado en él. Trustwave encontró el archivo PDF compartido en una cuenta falsa de Facebook que suplantaba al CEO de Amazon, Andy Jassy, y en anuncios de Facebook para trabajos en publicidad digital.
Una cadena de infección similar se ha utilizado para propagar el malware de tipo roba-credenciales, Phemedrone Stealer. Los dos usan el mismo repositorio de GitHub y comparten superposiciones a nivel de código. Es posible que Phemedrone haya sido adaptado y renombrado como Ov3r_Stealer, lo que es importante tener en cuenta para las personas conscientes de la seguridad.
Es recomendable no hacer clic en enlaces sospechosos, especialmente los que se presentan en un archivo desconocido de acceso directo a Internet, y evitar descargar software crackeado. La seguridad en línea es esencial para proteger la información personal y las cuentas de criptomonedas. Mientras tanto, las empresas deben realizar revisiones de seguridad continuas para detectar y prevenir estos tipos de ataques.
Es importante prestar atención a la seguridad en línea, ya que los actores de amenazas están evolucionando continuamente sus métodos y aprovechando cualquier oportunidad para propagar su malware. Estar informado y consciente de los peligros en línea puede ayudar a protegerse a sí mismo y a su información valiosa.
Vía: The Hacker News
