Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Cuidado: anuncios de empleo falsos en Facebook que difunden ‘Ov3r_Stealer’ para robar criptomonedas y credenciales
  • Tecnología

Cuidado: anuncios de empleo falsos en Facebook que difunden ‘Ov3r_Stealer’ para robar criptomonedas y credenciales

teknomers 6 de Şubat de 2024 (Last updated: 6 de Şubat de 2024) 4 minutes read
Cuidado: anuncios de empleo falsos en Facebook que difunden 'Ov3r_Stealer'


06 de febrero de 2024Sala de redacciónIngeniería Social / Publicidad Maliciosa

Los actores de amenazas están aprovechando anuncios de trabajo falsos en Facebook como señuelo para engañar a objetivos potenciales para que instalen un nuevo malware ladrón basado en Windows con nombre en código. Ov3r_Stealer.

“Este malware está diseñado para robar credenciales y billeteras criptográficas y enviarlas a un canal de Telegram que el actor de amenazas monitorea”, Trustwave SpiderLabs dicho en un informe compartido con The Hacker News.

Ov3r_Stealer es capaz de desviar ubicación basada en direcciones IP, información de hardware, contraseñas, cookies, información de tarjetas de crédito, autocompletar, extensiones de navegador, billeteras criptográficas, documentos de Microsoft Office y una lista de productos antivirus instalados en el host comprometido.

Si bien se desconoce el objetivo final exacto de la campaña, es probable que la información robada se ofrezca a la venta a otros actores de amenazas. Otra posibilidad es que Ov3r_Stealer pueda actualizarse con el tiempo para que actúe como un Cargador tipo QakBot para cargas útiles adicionales, incluido ransomware.

La seguridad cibernética

El punto de partida del ataque es un archivo PDF armado que pretende ser un archivo alojado en OneDrive, instando a los usuarios a hacer clic en el botón “Acceder al documento” incrustado en él.

Trustwave dijo que identificó el archivo PDF que se compartía en una cuenta falsa de Facebook que se hacía pasar por el director ejecutivo de Amazon, Andy Jassy, ​​así como a través de anuncios de Facebook para trabajos de publicidad digital.

Los usuarios que terminan haciendo clic en el botón reciben un archivo de acceso directo a Internet (.URL) que se hace pasar por un documento de DocuSign alojado en la red de entrega de contenido (CDN) de Discord. Luego, el archivo de acceso directo actúa como un conducto para entregar un archivo de elemento del panel de control (.CPL), que luego se ejecuta utilizando el proceso binario del Panel de control de Windows (“control.exe“).

La ejecución del archivo CPL conduce a la recuperación de un cargador de PowerShell (“DATA1.txt”) de un repositorio de GitHub para finalmente iniciar Ov3r_Stealer.

Anuncios de empleo en Facebook

Vale la pena señalar en esta etapa que Trend Micro reveló recientemente que una cadena de infección casi idéntica fue utilizada por actores de amenazas para eliminar otro ladrón llamado Phemedrone Stealer al explotar la falla de derivación SmartScreen de Microsoft Windows Defender (CVE-2023-36025, Puntuación CVSS: 8,8).

Las similitudes se extienden al repositorio de GitHub utilizado (nateeintanan2527) y al hecho de que Ov3r_Stealer comparte superposiciones a nivel de código con Phemedrone.

“Este malware ha sido reportado recientemente, y es posible que Phemedrone haya sido reutilizado y renombrado a Ov3r_Stealer”, dijo Trustwave. “La principal diferencia entre los dos es que Phemedrone está escrito en C#”.

La seguridad cibernética

Los hallazgos se producen cuando Hudson Rock reveló que los actores de amenazas están anunciando su acceso a portales de solicitudes de aplicación de la ley de organizaciones importantes como binance, Google, Meta y TikTok explotando credenciales obtenidas de infecciones de robo de información.

También siguen a la aparición de una categoría de infecciones llamadas Cantil Agrietado que aprovechan el software descifrado como vector de acceso inicial para descargar cargadores como PrivateLoader y SmokeLoader, para luego actuar como mecanismo de entrega para ladrones de información, criptomineros, botnets proxy y ransomware.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Los precios del petróleo están aumentando ligeramente
Next: Bundesliga: Hellmann arremete contra los ultras tras una protesta – "Hipocresía"

Related Stories

¿Despegará algún día la cohete ruso rival del Falcon 9?
  • Tecnología

¿Despegará algún día la cohete ruso rival del Falcon 9?

teknomers 18 de Temmuz de 2026
Sistema de seguridad Verisure, su hogar protegido durante las vacaciones
  • Tecnología

Sistema de seguridad Verisure, su hogar protegido durante las vacaciones

teknomers 18 de Temmuz de 2026
HP acusada de cártel en PCs y cartuchos de tinta
  • Tecnología

HP acusada de cártel en PCs y cartuchos de tinta

teknomers 18 de Temmuz de 2026

You May Have Missed

  • General

Lecciones de vida: Mentalidad japonesa del día: “Wabi-sabi” — Por qué abrazar las imperfecciones puede llevar a una mayor paz, felicidad y autoaceptación.

teknomers 18 de Temmuz de 2026
  • Deporte

Tour de Francia 2026, etapa 15: horarios y puntos de paso de la caravana entre Champagnole y Plateau de Solaison

teknomers 18 de Temmuz de 2026
  • Deporte

Tour de Francia 2026: Tadej Pogacar amplía su ventaja tras la etapa 14

teknomers 18 de Temmuz de 2026
  • Cultura

¿Entonces M 6, campeona del mundo? Audiencias, ingresos publicitarios, editorial… El balance de la competencia para la cadena.

teknomers 18 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.