Ov3r_Stealer se propage via les publicités Facebook
-
Un nouveau malware appelé Ov3r_Stealer vole les mots de passe, vide les comptes et les portefeuilles cryptographiques. Les données sont transférées vers un bot Telegram.
Un nouveau type de malware appelé Ov3r_Stealer est actuellement à l’origine de méfaits. Le malware est utilisé pour copier des mots de passe, vider des portefeuilles dans les échanges cryptographiques en ligne et obtenir les informations de connexion des comptes bancaires, etc. Elle se propage massivement via de fausses offres d’emploi sur Facebook. Selon Trustwave, de nombreux emails de phishing ont également été envoyés à cette fin.
Les fausses offres d’emploi concernent des postes de direction et sont inoffensives tant que vous ne cliquez pas sur le lien inclus. Dans ce cas, ils dirigent les utilisateurs vers une URL Discord où un script PowerShell télécharge le malware depuis un référentiel GitHub. Les analystes de Trustwave ont découvert l’Ov3r_Stealer. La tactique elle-même n’est pas nouvelle. Mais en raison de la popularité de Facebook, le malware constitue une menace sérieuse qui peut affecter de nombreuses personnes, selon l’évaluation du fournisseur de services informatiques.
Comment Ov3r_Stealer infecte-t-il les PC ?
Les victimes sont attirées via une offre d’emploi sur Facebook. Là, il leur sera demandé de postuler pour un poste ouvert de responsable de compte dans le secteur de la publicité numérique. L’annonce renvoie à un fichier PDF que le cybercriminel a enregistré sur OneDrive.
Mais au lieu de télécharger les détails du travail, une redirection Discord déclenche le téléchargement d’un PowerShell . Il se déguise en panneau de configuration Windows et, une fois exécuté, télécharge des logiciels malveillants supplémentaires pour prendre définitivement le contrôle de l’ordinateur. Selon les analystes, le malware est transmis via quatre voies différentes.
Vol et exfiltration
Une fois infecté, Ov3r_Stealer tente de copier les données d’un large éventail d’applications, notamment les applications de portefeuille de crypto-monnaie, les navigateurs Web, les extensions de navigateur, Discord, le client FTP Filezilla et bien d’autres. De plus, le malware inspecte la configuration des services système dans le registre Windows, éventuellement pour identifier des cibles potentielles.
Le malware peut spécifiquement rechercher des documents dans tous les répertoires locaux. Les données volées, ainsi que la géolocalisation de la victime et un résumé clair, sont transmises toutes les 90 minutes à un robot Telegram contrôlé par les cybercriminels. La victime ne remarque rien.
-
Toujours plus
