Attento: Annunci Falsi di Lavoro su Facebook Diffondono ‘Ov3r_Stealer’ per Rubare Criptovalute e Credenziali
Il mondo dei truffatori online non conosce limiti, e ora si sta diffondendo una nuova minaccia attraverso annunci di lavoro fasulli su Facebook.
‘Ov3r_Stealer’, un malware per Windows progettato per rubare criptovalute e credenziali, sta facendo parlare di sé.
Secondo un rapporto di Trustwave SpiderLabs condiviso con The Hacker News, Ov3r_Stealer viene distribuito attraverso annunci di lavoro fraudolenti su Facebook, che inducono le vittime a installare il malware sul proprio sistema.
Una volta installato, il malware ruba credenziali e portafogli criptovaluta, inviandoli a un canale Telegram controllato dal truffatore.
Ma le minacce non finiscono qui. Ov3r_Stealer è in grado di raccogliere una vasta gamma di informazioni, tra cui indirizzi IP, informazioni hardware, password, cookie, dati delle carte di credito, estensioni del browser e molto altro ancora.
Non solo minaccia la sicurezza delle criptovalute, ma anche la privacy e la sicurezza online degli utenti.
Non è chiaro ancora l’obiettivo finale di questa campagna, ma è probabile che le informazioni rubate vengano offerte in vendita ad altri truffatori.
Inoltre, c’è il rischio che Ov3r_Stealer possa essere aggiornato nel tempo per fungere da caricatore per altri malware, incluso il ransomware.
L’attacco inizia con un file PDF manipolato, apparentemente ospitato su OneDrive, che invita gli utenti a cliccare su un pulsante “Accesso al Documento”.
Una volta cliccato, si viene indirizzati a un file shortcut (.URL) che si presenta come un documento DocuSign ospitato sulla rete di distribuzione di contenuti di Discord.
Da qui, viene eseguito un file di controllo panello (.CPL), che a sua volta avvia un caricatore PowerShell per lanciare Ov3r_Stealer.
Questo non è un caso isolato. Trend Micro ha recentemente rivelato un’infezione simile che utilizza una catena di infezione quasi identica per distribuire un altro malware chiamato Phemedrone Stealer.
Le somiglianze sono evidenti anche nei repository GitHub utilizzati e nel codice condiviso tra i due malware.