Le nouveau malware Ov3r_Stealer opère par une méthode de diffusion particulièrement vicieuse : des publicités pour des offres d’emploi sur Facebook. Ce virus est capable de siphonner les cryptomonnaies et des informations sensibles comme les mots de passe.
Facebook est à nouveau le lieu de circulation d’un malware : Ov3r_Stealer, un virus capable de voler les mots de passe. En novembre, Google avait lancé un procès contre les fausses publicités pour Bard sur Facebook qui cachaient des malwares. Plus vicieux encore, la société de cybersécurité Trustwave signale que les pirates derrière Ov3r_Stealer opèrent via de fausses offres d’emploi sur le réseau social.
Comment fonctionne le dangereux malware Ov3r_Stealer ?
Beaucoup plus habilement que ce malware qui se diffuse par des clés USB, ces offres d’emploi renvoient à un fichier PDF hébergé sur OneDrive, censé contenir les détails du poste. Cliquer sur ce fichier redirige en réalité vers Discord, qui télécharge un fichier nommé “pdf2.cpl”. Le fichier est maquillé pour ressembler à un DocuSign, mais en réalité, il s’agit d’un script PowerShell.
À ce stade, Trustwave a observé quatre méthodes d’installation de la charge utile, à savoir :
- Des fichiers malveillants du panneau de configuration (CPL) exécutant des scripts PowerShell à distance.
- Des fichiers HTML contenant des fichiers ZIP avec du contenu malveillant.
- Des fichiers LNK se faisant passer pour des fichiers texte agissant comme des raccourcis de téléchargement.
- Des fichiers SVG contenant des fichiers .RAR.
La charge utile finale se compose de trois fichiers : un exécutable Windows légitime, un fichier DLL utilisé pour le sideloading (Wer.dll) et un document contenant le code malveillant (Secure.pdf). Une fois lancé, le malware reste actif à l’aide d’une commande exécutant la tâche “Licensing2” sur les ordinateurs infectés toutes les 90 minutes.
Que vole sur les machines infectés ce logiciel malveillant ?
Contrairement à ce malware qui vole tout simplement votre compte bancaire, Ov3r_Stealer est un peu moins brutal. Il est néanmoins capable de voler des données à partir d’un large éventail d’applications, notamment les portefeuilles de crypto-monnaie, les navigateurs web, les extensions de navigateur, ou encore Discord.
À lire > Ce malware Android vole votre code PIN et il est indétectable
En outre, le logiciel malveillant inspecte la configuration des services système dans le registre Windows, pour identifier des fichiers potentiellement sensibles. Le malware collecte toutes ces informations ainsi la géolocalisation de la victime toutes les 90 minutes, pour les envoyer à un bot Telegram, derrière lequel les pirates se cachent.
Heureusement, cette campagne malveillante ne semble concerner que les Etats-Unis. Aucune offre d’emploi en français n’est recensée par les analystes de Trustwave qui ont découvert le malware. Toutefois, ils signalent que la diffusion de cette menace sur Facebook, un réseau social dont le succès ne se dément pas, démultiplie le danger.
- Un nouveau malware circule actuellement sur Facebook via des publicités pour des offres d’emploi.
- Ces offres cache en réalité un lien vers Discord qui charge un script Powershell.
- Une fois le PC infecté, le logiciel malveillant vole toutes sortes d’informations sensibles.
