Finte offerte di lavoro su Facebook: celano malware Ov3r_Stealer

Facebook è nuovamente al centro di una campagna di malware: si tratta di Ov3r_Stealer, un virus che ruba le password e altri dati sensibili dai computer infetti. Questo malware segue la scia di altri attacchi informatici che hanno sfruttato il social network, come i falsi annunci di Bard che Google ha denunciato a novembre.

Come si diffonde e come funziona Ov3r_Stealer?

Ov3r_Stealer si propaga attraverso delle false offerte di lavoro pubblicate su Facebook, che rimandano a un file PDF su OneDrive, apparentemente relativo alla posizione lavorativa. Se l’utente clicca su questo file, viene reindirizzato a Discord, dove scarica un file chiamato “pdf2.cpl”. Questo file si finge un DocuSign, ma in realtà è uno script PowerShell che installa il payload del malware.

Trustwave, la società di cybersicurezza che ha scoperto Ov3r_Stealer, ha individuato quattro modi diversi in cui il malware installa il suo payload:

• File CPL dannosi che eseguono script PowerShell remoti.
• File HTML che contengono file ZIP con contenuti dannosi.
• File LNK che si presentano come file di testo e funzionano da scorciatoie per il download.
• File SVG che contengono file .RAR.

Il payload finale è composto da tre file: un eseguibile Windows legittimo, un file DLL usato per il sideloading (Wer.dll) e un documento con il codice dannoso (Secure.pdf). Una volta avviato, il malware resta attivo con un comando che esegue il task “Licensing2” sui computer infetti ogni 90 minuti.

Cosa ruba Ov3r_Stealer dai computer infetti?

Ov3r_Stealer non si limita a rubare le credenziali del conto in banca delle vittime, ma è in grado di accedere a una vasta gamma di applicazioni, tra cui portafogli di criptovalute, browser web, estensioni del browser e Discord.

Inoltre, il malware analizza la configurazione dei servizi di sistema nel registro di Windows per trovare i file potenzialmente sensibili. Il malware raccoglie tutte queste informazioni, insieme alla geolocalizzazione della vittima, ogni 90 minuti e le invia a un bot Telegram, dove si nascondono gli hacker.

Per ora la campagna di malware sembra colpire solo gli USA

La distribuzione del malware Ov3r_Stealer tramite finte offerte di lavoro su Facebook al momento sembra interessare solamente gli Stati Uniti, come confermato dagli analisti di Trustwave che per primi hanno rivelato la minaccia. Non sono stati infatti rilevati annunci in lingua italiana.

Ciononostante, la presenza su un social network frequentatissimo come Facebook aumenta la potenziale pericolosità di questo malware. Gli esperti avvertono che, se efficace, la campagna potrebbe presto allargarsi ad altri Paesi. Per questo motivo è bene tenere alta l’attenzione ed evitare di cliccare su annunci di lavoro di dubbia provenienza.