En el vasto mundo digital de hoy, la ciberseguridad se ha convertido en una preocupación primordial para individuos y empresas por igual. Recientemente, ha surgido una nueva amenaza que se aprovecha de las esperanzas y necesidades de aquellos que buscan oportunidades laborales: anuncios falsos de trabajo en Facebook diseñados para diseminar malware.
Los delincuentes cibernéticos están utilizando anuncios de empleo falsos en Facebook como cebo para persuadir a posibles objetivos a instalar un nuevo tipo de malware basado en Windows conocido como Ov3r_Stealer.
Este malware está diseñado para robar información delicada, como credenciales y carteras de criptomonedas, y luego enviarlas a un canal de Telegram controlado por los atacantes. Ov3r_Stealer es capaz de recopilar una amplia gama de datos, incluidos detalles de ubicación basados en direcciones IP, información de hardware, contraseñas, cookies, datos de tarjetas de crédito, autocompletado de formularios, extensiones de navegador, carteras de criptomonedas, documentos de Microsoft Office y una lista de software antivirus instalado en el dispositivo comprometido.
Aunque el propósito exacto de esta campaña aún no está claro, es probable que la información robada se ofrezca en el mercado negro a otros delincuentes cibernéticos. También existe la posibilidad de que Ov3r_Stealer se actualice en el futuro para funcionar como un cargador de otras amenazas, como ransomware, siguiendo un modelo similar al de QakBot.
Conoce más sobre: Desmantelamiento de Qakbot: Un Caso de Éxito en Ciberseguridad
El ataque comienza con un archivo PDF manipulado que aparenta ser un documento almacenado en OneDrive. Este archivo insta a los usuarios a hacer clic en un enlace que supuestamente les dará acceso al documento. Este PDF se ha identificado compartiéndose a través de una cuenta de Facebook falsa que se hace pasar por el CEO de Amazon, Andy Jassy, así como mediante anuncios de empleo en Facebook relacionados con la publicidad digital.
Cuando los usuarios hacen clic en el enlace, se les proporciona un archivo de acceso directo a Internet (.URL) que pretende ser un documento de DocuSign alojado en la red de entrega de contenido (CDN) de Discord. Este archivo de acceso directo actúa como un medio para entregar un archivo de elemento de panel de control (.CPL), que a su vez se ejecuta utilizando el proceso binario del Panel de control de Windows (control.exe).
La ejecución del archivo CPL desencadena la descarga de un cargador de PowerShell ("DATA1.txt") desde un repositorio en GitHub, lo que finalmente inicia la ejecución de Ov3r_Stealer.
Te podrá interesar: NodeStealer: Anuncios Seductores que Hackean Facebook
Es relevante destacar en este punto que Trend Micro recientemente reveló que una cadena de infección casi idéntica fue utilizada por actores de amenazas para desplegar otro tipo de malware llamado Phemedrone Stealer, aprovechando una vulnerabilidad de derivación de SmartScreen en Microsoft Windows Defender (CVE-2023-36025, CVSS: 8.8).
Las similitudes van más allá al incluir el uso del mismo repositorio de GitHub (nateeintanan2527) y el hecho de que Ov3r_Stealer comparte coincidencias a nivel de código con Phemedrone.
"Este malware ha sido informado recientemente, y es posible que Phemedrone haya sido reciclado y rebautizado como Ov3r_Stealer", mencionó Trustwave. "La principal diferencia entre ambos es que Phemedrone está codificado en C#".
Para reforzar aún más los lazos entre estos dos tipos de malware, se ha observado que el actor de amenazas comparte noticias sobre Phemedrone Stealer en sus canales de Telegram para generar "credibilidad callejera" para su negocio de malware como servicio (MaaS).
Podría interesarte leer: El auge del Malware como Servicio: Una Amenaza Peligrosa
"Mi propio ladrón está en las noticias, mostrando lo escurridizo que es. Soy el desarrollador y estoy muy contento ahora", expresó el actor de amenazas, que utiliza el alias en línea Liu Kong, mientras expresa frustración por el hecho de que los investigadores lograron "revertir toda la cadena de exploits" a pesar de que todo estaba "en la memoria".
Estos hallazgos surgen en un momento en que Hudson Rock revela que los actores de amenazas están anunciando su acceso a portales de aplicación de la ley de organizaciones importantes, como Binance, Google, Meta y TikTok, mediante el uso de credenciales obtenidas de infecciones de robo de información.
Además, siguen el surgimiento de una categoría de infecciones conocida como CrackedCantil, que utiliza software pirateado como vector de entrada para descargar cargadores como PrivateLoader y SmokeLoader, que luego actúan como mecanismos de entrega para ladrones de información, criptomineros, botnets proxy y ransomware.
Los anuncios falsos de trabajo en Facebook son solo una de las muchas tácticas que los ciberdelincuentes utilizan para diseminar malware y comprometer la seguridad en línea. En un mundo cada vez más digitalizado, la conciencia y la educación sobre ciberseguridad son fundamentales para proteger nuestra información personal y profesional. Al adoptar prácticas de seguridad proactivas y permanecer vigilantes ante ofertas sospechosas, podemos defendernos mejor contra estas amenazas digitales.
La seguridad en línea es una responsabilidad compartida. Al informarnos y tomar medidas preventivas, no solo protegemos nuestra propia seguridad digital, sino que también contribuimos a un entorno digital más seguro para todos. Recuerda, en el vasto mundo de internet, la precaución nunca está de más.