Los piratas informáticos están utilizando el malware de phishing de Facebook para robar credenciales criptográficas, advierte el informe Trustwave SpiderLabs
En Resumen
Trustwave SpiderLabs descubrió el malware de robo de credenciales criptográficas Ov3r_Stealer, lo que destaca el aumento del panorama de amenazas a la seguridad criptográfica.
empresa de ciberseguridad Trustwave SpiderLabs descubrió un nuevo malware llamado Ov3r_Stealer durante una investigación de la campaña Advanced Continual Threat Hunt (ACTH) a principios de diciembre de 2023.
Ov3r_Stealer está elaborado por actores maliciosos y está diseñado con el nefasto propósito de robar credenciales confidenciales y billeteras de criptomonedas de víctimas desprevenidas y enviarlas a un canal de Telegram monitoreado por el actor de amenazas.
El vector de ataque inicial se remonta a un engañoso Facebook anuncio de trabajo disfrazado de oportunidad para un puesto de gerente de cuentas. Las personas intrigadas, que no sospechaban la amenaza inminente, fueron incitadas a hacer clic en enlaces incrustados en el anuncio, redirigiéndolos a una URL de entrega de contenido malicioso de Discord.
“Para que el vector de ataque inicial de publicidad maliciosa se realice en el entorno de la víctima, el usuario tendría que hacer clic en el enlace proporcionado en el anuncio. Desde allí, serían redirigidos a través de un servicio de acortamiento de URL a una CDN. La CDN observada en los casos que observamos fue cdn.discordapp.com”, dijo Greg Monson, director del equipo de inteligencia contra amenazas cibernéticas de Trustwave SpiderLabs. Metaverse Post.
“A partir de ahí, se puede engañar a la víctima para que descargue la carga útil de Ov3r_Stealer. Una vez descargado, recuperará la siguiente carga útil como un archivo del Panel de control de Windows (.CPL). En el caso observado, el archivo.CPL se conecta a un repositorio de GitHub a través de un script de PowerShell para descargar archivos maliciosos adicionales”, añadió Monson.
Es importante tener en cuenta que cargar el malware en el sistema incluye el contrabando de HTML, el contrabando de SVG y el enmascaramiento de archivos LNK. Una vez ejecutado, el malware crea un mecanismo de persistencia a través de una tarea programada y se ejecuta cada 90 segundos.
Las crecientes amenazas cibernéticas exigen medidas de seguridad proactivas
Estos malwares filtran datos confidenciales como geolocalización, contraseñas, detalles de tarjetas de crédito y más a un canal de Telegram monitoreado por actores de amenazas, lo que resalta el panorama en evolución de ciberamenazas y la importancia de medidas proactivas de ciberseguridad.
“Si bien no somos conscientes de las intenciones que tenía el actor de amenazas detrás de recopilar la información robada a través de este malware, hemos visto información similar vendida en varios foros de la Dark Web. Las credenciales compradas y vendidas en estas plataformas pueden ser un vector de acceso potencial para que los grupos de ransomware realicen operaciones”, dijo Greg Monson de Trustwave SpiderLabs. Metaverse Post.
“Con respecto a especular sobre las intenciones del actor de amenazas que estábamos rastreando, una posible motivación podría ser recopilar credenciales de cuentas para varios servicios y luego compartirlas y/o venderlas a través de Telegram en el 'Golden Dragon Lounge'. A menudo se puede encontrar a los usuarios de este grupo de Telegram solicitando diferentes servicios, como Netflix, Spotify, YouTube y cPanel”, añadió.
Además, la investigación realizada por el equipo condujo a varios alias, canales de comunicación y repositorios utilizados por los actores de amenazas, incluidos alias como 'Liu Kong', 'MR Meta', MeoBlackA y 'John Macollan' encontrados en grupos como 'Pwn3rzs Chat'. , 'Golden Dragon Lounge', 'Data Pro' y 'Foros de la KGB'.
En diciembre 18, el el malware se hizo conocido por el público y fue reportado en VirusTotal.
“La incertidumbre sobre cómo se utilizarán los datos añade algunas complicaciones desde el punto de vista de la mitigación, pero los pasos que una organización debe tomar para remediar deberían ser los mismos. Capacitar a los usuarios para que identifiquen enlaces potencialmente maliciosos y apliquen parches de seguridad para las vulnerabilidades es uno de los primeros pasos que una organización debe tomar para prevenir un ataque como este”, afirmó Monson.
“En caso de que se encuentre malware con este tipo de capacidades, sería recomendable restablecer la contraseña de los usuarios afectados, ya que esa información podría ser utilizada en un ataque secundario con mayores implicaciones”, añadió.
Otro malware, Phemedrone, comparte todas las características de Ov3r_Stealer pero está escrito en un lenguaje diferente (C#). Se recomienda buscar en la telemetría para identificar cualquier uso potencial de este malware y sus variantes en los sistemas, a pesar de que los IOC enumerados posiblemente no sean relevantes para los ataques de malware actuales.
Observación
En línea con la Directrices del Proyecto Confianza, tenga en cuenta que la información proporcionada en esta página no pretende ser ni debe interpretarse como asesoramiento legal, fiscal, de inversión, financiero o de cualquier otro tipo. Es importante invertir sólo lo que pueda permitirse perder y buscar asesoramiento financiero independiente si tiene alguna duda. Para mayor información sugerimos consultar los términos y condiciones así como las páginas de ayuda y soporte proporcionadas por el emisor o anunciante. MetaversePost se compromete a brindar informes precisos e imparciales, pero las condiciones del mercado están sujetas a cambios sin previo aviso.
Sobre el Autor
Kumar es un periodista tecnológico experimentado con especialización en las intersecciones dinámicas de AI/ML, tecnología de marketing y campos emergentes como cripto, blockchain y NFTs. Con más de 3 años de experiencia en la industria, Kumar ha establecido una trayectoria comprobada en la elaboración de narrativas convincentes, la realización de entrevistas interesantes y la entrega de conocimientos integrales. La experiencia de Kumar radica en la producción de contenido de alto impacto, incluidos artículos, informes y publicaciones de investigación para plataformas industriales destacadas. Con un conjunto de habilidades único que combina conocimiento técnico y narración, Kumar se destaca en comunicar conceptos tecnológicos complejos a audiencias diversas de una manera clara y atractiva.
Más artículos
Kumar es un periodista tecnológico experimentado con especialización en las intersecciones dinámicas de AI/ML, tecnología de marketing y campos emergentes como cripto, blockchain y NFTs. Con más de 3 años de experiencia en la industria, Kumar ha establecido una trayectoria comprobada en la elaboración de narrativas convincentes, la realización de entrevistas interesantes y la entrega de conocimientos integrales. La experiencia de Kumar radica en la producción de contenido de alto impacto, incluidos artículos, informes y publicaciones de investigación para plataformas industriales destacadas. Con un conjunto de habilidades único que combina conocimiento técnico y narración, Kumar se destaca en comunicar conceptos tecnológicos complejos a audiencias diversas de una manera clara y atractiva.
