{"id":1171653,"date":"2024-02-06T16:22:36","date_gmt":"2024-02-06T16:22:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/cuidado-anuncios-de-empleo-falsos-en-facebook-que-difunden-ov3r_stealer-para-robar-criptomonedas-y-credenciales\/"},"modified":"2024-02-06T16:22:40","modified_gmt":"2024-02-06T16:22:40","slug":"cuidado-anuncios-de-empleo-falsos-en-facebook-que-difunden-ov3r_stealer-para-robar-criptomonedas-y-credenciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cuidado-anuncios-de-empleo-falsos-en-facebook-que-difunden-ov3r_stealer-para-robar-criptomonedas-y-credenciales\/","title":{"rendered":"Cuidado: anuncios de empleo falsos en Facebook que difunden &#8216;Ov3r_Stealer&#8217; para robar criptomonedas y credenciales"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 de febrero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ingenier\u00eda Social \/ Publicidad Maliciosa<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Cuidado-anuncios-de-empleo-falsos-en-Facebook-que-difunden-Ov3r_Stealer.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los actores de amenazas est\u00e1n aprovechando anuncios de trabajo falsos en Facebook como se\u00f1uelo para enga\u00f1ar a objetivos potenciales para que instalen un nuevo malware ladr\u00f3n basado en Windows con nombre en c\u00f3digo. <strong>Ov3r_Stealer<\/strong>.<\/p>\n<p>&#8220;Este malware est\u00e1 dise\u00f1ado para robar credenciales y billeteras criptogr\u00e1ficas y enviarlas a un canal de Telegram que el actor de amenazas monitorea&#8221;, Trustwave SpiderLabs <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/hubfs\/Web\/Library\/Documents_pdf\/FaceBook_Ad_Spreads_Novel_Malware.pdf\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>Ov3r_Stealer es capaz de desviar ubicaci\u00f3n basada en direcciones IP, informaci\u00f3n de hardware, contrase\u00f1as, cookies, informaci\u00f3n de tarjetas de cr\u00e9dito, autocompletar, extensiones de navegador, billeteras criptogr\u00e1ficas, documentos de Microsoft Office y una lista de productos antivirus instalados en el host comprometido.<\/p>\n<p>Si bien se desconoce el objetivo final exacto de la campa\u00f1a, es probable que la informaci\u00f3n robada se ofrezca a la venta a otros actores de amenazas.  Otra posibilidad es que Ov3r_Stealer pueda actualizarse con el tiempo para que act\u00fae como un <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/tracking-15-years-qakbot-development\" target=\"_blank\">Cargador tipo QakBot<\/a> para cargas \u00fatiles adicionales, incluido ransomware.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/1705323196_227_Balada-Injector-infecta-mas-de-7100-sitios-de-WordPress-utilizando.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El punto de partida del ataque es un archivo PDF armado que pretende ser un archivo alojado en OneDrive, instando a los usuarios a hacer clic en el bot\u00f3n &#8220;Acceder al documento&#8221; incrustado en \u00e9l.<\/p>\n<p>Trustwave dijo que identific\u00f3 el archivo PDF que se compart\u00eda en una cuenta falsa de Facebook que se hac\u00eda pasar por el director ejecutivo de Amazon, Andy Jassy, \u200b\u200bas\u00ed como a trav\u00e9s de anuncios de Facebook para trabajos de publicidad digital.<\/p>\n<p>Los usuarios que terminan haciendo clic en el bot\u00f3n reciben un archivo de acceso directo a Internet (.URL) que se hace pasar por un documento de DocuSign alojado en la red de entrega de contenido (CDN) de Discord.  Luego, el archivo de acceso directo act\u00faa como un conducto para entregar un archivo de elemento del panel de control (.CPL), que luego se ejecuta utilizando el proceso binario del Panel de control de Windows (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1218\/002\/\" target=\"_blank\">control.exe<\/a>&#8220;).<\/p>\n<p>La ejecuci\u00f3n del archivo CPL conduce a la recuperaci\u00f3n de un cargador de PowerShell (&#8220;DATA1.txt&#8221;) de un repositorio de GitHub para finalmente iniciar Ov3r_Stealer.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707236555_657_Cuidado-anuncios-de-empleo-falsos-en-Facebook-que-difunden-Ov3r_Stealer.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707236555_657_Cuidado-anuncios-de-empleo-falsos-en-Facebook-que-difunden-Ov3r_Stealer.jpg\" alt=\"Anuncios de empleo en Facebook\" border=\"0\" data-original-height=\"649\" data-original-width=\"1001\" title=\"Anuncios de empleo en Facebook\"\/><\/a><\/div>\n<p>Vale la pena se\u00f1alar en esta etapa que Trend Micro revel\u00f3 recientemente que una cadena de infecci\u00f3n casi id\u00e9ntica fue utilizada por actores de amenazas para eliminar otro ladr\u00f3n llamado Phemedrone Stealer al explotar la falla de derivaci\u00f3n SmartScreen de Microsoft Windows Defender (CVE-2023-36025, Puntuaci\u00f3n CVSS: 8,8).<\/p>\n<p>Las similitudes se extienden al repositorio de GitHub utilizado (nateeintanan2527) y al hecho de que Ov3r_Stealer comparte superposiciones a nivel de c\u00f3digo con Phemedrone.<\/p>\n<p>&#8220;Este malware ha sido reportado recientemente, y es posible que Phemedrone haya sido reutilizado y renombrado a Ov3r_Stealer&#8221;, dijo Trustwave.  &#8220;La principal diferencia entre los dos es que Phemedrone est\u00e1 escrito en C#&#8221;.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Advertencia-surge-nuevo-malware-en-ataques-que-explotan-las-vulnerabilidades.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los hallazgos se producen cuando Hudson Rock revel\u00f3 que los actores de amenazas est\u00e1n anunciando su acceso a portales de solicitudes de aplicaci\u00f3n de la ley de organizaciones importantes como <a rel=\"nofollow noopener\" href=\"https:\/\/www.infostealers.com\/article\/hacker-sells-access-to-binances-law-enforcement-portal-cryptocurrency-holders-at-risk\/\" target=\"_blank\">binance<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.infostealers.com\/article\/infostealer-infections-lead-to-hacking-of-google-tiktok-and-meta-law-enforcement-systems\/\" target=\"_blank\">Google, Meta y TikTok<\/a> explotando credenciales obtenidas de infecciones de robo de informaci\u00f3n.<\/p>\n<p>Tambi\u00e9n siguen a la aparici\u00f3n de una categor\u00eda de infecciones llamadas <a rel=\"nofollow noopener\" href=\"https:\/\/www.infostealers.com\/article\/crackedcantil-a-malware-symphony-breakdown\/\" target=\"_blank\">Cantil Agrietado<\/a> que aprovechan el software descifrado como vector de acceso inicial para descargar cargadores como PrivateLoader y SmokeLoader, para luego actuar como mecanismo de entrega para ladrones de informaci\u00f3n, criptomineros, botnets proxy y ransomware.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/beware-fake-facebook-job-ads-spreading.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 de febrero de 2024\ue804Sala de redacci\u00f3nIngenier\u00eda Social \/ Publicidad Maliciosa Los actores de amenazas est\u00e1n aprovechando anuncios<\/p>\n","protected":false},"author":1,"featured_media":1171654,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,20284,4661,4664,42020,1868,26,4876,3341,4468,9132,4662,4668,201033,4654,201031,4659,4653,4655,229458,18,26365,4666,4665,201032,4660],"class_list":["post-1171653","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-anuncios","tag-ataques-ciberneticos","tag-como-hackear","tag-credenciales","tag-criptomonedas","tag-cuidado","tag-difunden","tag-empleo","tag-facebook","tag-falsos","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ov3r_stealer","tag-para","tag-robar","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1171653","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1171653"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1171653\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1171654"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1171653"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1171653"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1171653"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}