Bedrohungsakteure verwenden gefälschte #Facebook -Stellenanzeigen, um Opfer dazu zu verleiten, Ov3r_Stealer zu installieren, einen neuen Windows-basierten Stealer-Virus.

Ov3r_Stealer ist darauf ausgelegt, IP-Adress-basierten Standort, Hardwaredetails, Passwörter, Cookies, Kreditkarteninformationen, Auto-Fills, Browsererweiterungen, Krypto-Wallets, Microsoft Office-Dokumente und eine Liste von Antivirenprodukten vom infizierten Host zu extrahieren.

Das Motiv der Kampagne bleibt unklar; gestohlene Daten werden jedoch häufig an andere Bedrohungsakteure verkauft. Ov3r_Stealer kann auch modifiziert werden, um Malware und andere Payloads wie QakBot bereitzustellen.

Der Angriff beginnt mit einer bösartigen PDF-Datei, die scheinbar auf OneDrive gehostet wird und Benutzer dazu verleitet, auf eine Schaltfläche „Auf Dokument zugreifen“ zu klicken.

Trustwave entdeckte die PDF-Datei, die auf einem gefälschten Facebook-Konto des Amazon-CEO Andy Jassy gepostet wurde, und Facebook-Anzeigen, die digitale Werbemöglichkeiten bewarben.

Wenn Benutzer auf die Schaltfläche klicken, werden sie zu einer URL-Datei weitergeleitet, die vorgibt, ein DocuSign-Dokument zu sein, das auf dem CDN von Discord gehostet wird. Eine Systemsteuerungselementdatei (.CPL) wird über die Verknüpfungsdatei übermittelt und von der Binärdatei des Windows-Systemsteuerungsprozesses („control.exe“) ausgeführt.

Das Ausführen der CPL-Datei löst einen PowerShell-Loader-Abruf („DATA1.txt“) von GitHub aus, um Ov3r_Stealer auszuführen.

#BewareOfScams #TrendingTopic #SafetyTips