Aktéři hrozeb používají falešné #Facebook pracovní inzeráty, aby oklamali oběti, aby si nainstalovali Ov3r_Stealer, nový zlodějský virus založený na Windows.
Ov3r_Stealer je navržen tak, aby z infikovaného hostitele extrahoval umístění na základě IP adresy, podrobnosti o hardwaru, hesla, soubory cookie, informace o kreditních kartách, automatické vyplňování, rozšíření prohlížeče, kryptopeněženky, dokumenty Microsoft Office a seznam antivirových produktů.
Motiv kampaně zůstává nejasný; odcizená data jsou však často prodávána dalším aktérům hrozeb. Ov3r_Stealer může být také upraven tak, aby nasazoval malware a další užitečné zatížení, jako je QakBot.
Útok začíná škodlivým souborem PDF, který je zdánlivě hostován na OneDrive a láká uživatele, aby klikli na tlačítko „Přístup k dokumentu“.
Trustwave objevila soubor PDF zveřejněný na falešném facebookovém účtu generálního ředitele Amazonu Andyho Jassyho a facebookových reklamách propagujících možnosti digitální reklamy.
Po kliknutí na tlačítko jsou uživatelé přesměrováni na soubor .URL vydávající se za dokument DocuSign hostovaný na CDN společnosti Discord. Soubor položky ovládacího panelu (.CPL) je doručen prostřednictvím souboru zástupce a spuštěn binárním procesem ovládacího panelu Windows („control.exe“).
Spuštění souboru CPL spustí načítání zavaděče PowerShell (“DATA1.txt”) z GitHubu za účelem spuštění Ov3r_Stealer.
