Bedrohungsakteure verwenden gefälschte #Facebook -Stellenanzeigen, um Opfer dazu zu verleiten, Ov3r_Stealer zu installieren, einen neuen Windows-basierten Stealer-Virus.
Ov3r_Stealer ist darauf ausgelegt, IP-Adress-basierten Standort, Hardwaredetails, Passwörter, Cookies, Kreditkarteninformationen, Auto-Fills, Browsererweiterungen, Krypto-Wallets, Microsoft Office-Dokumente und eine Liste von Antivirenprodukten vom infizierten Host zu extrahieren.
Das Motiv der Kampagne bleibt unklar; gestohlene Daten werden jedoch häufig an andere Bedrohungsakteure verkauft. Ov3r_Stealer kann auch modifiziert werden, um Malware und andere Payloads wie QakBot bereitzustellen.
Der Angriff beginnt mit einer bösartigen PDF-Datei, die scheinbar auf OneDrive gehostet wird und Benutzer dazu verleitet, auf eine Schaltfläche „Auf Dokument zugreifen“ zu klicken.
Trustwave entdeckte die PDF-Datei, die auf einem gefälschten Facebook-Konto des Amazon-CEO Andy Jassy gepostet wurde, und Facebook-Anzeigen, die digitale Werbemöglichkeiten bewarben.
Wenn Benutzer auf die Schaltfläche klicken, werden sie zu einer URL-Datei weitergeleitet, die vorgibt, ein DocuSign-Dokument zu sein, das auf dem CDN von Discord gehostet wird. Eine Systemsteuerungselementdatei (.CPL) wird über die Verknüpfungsdatei übermittelt und von der Binärdatei des Windows-Systemsteuerungsprozesses („control.exe“) ausgeführt.
Das Ausführen der CPL-Datei löst einen PowerShell-Loader-Abruf („DATA1.txt“) von GitHub aus, um Ov3r_Stealer auszuführen.
#BewareOfScams #TrendingTopic #SafetyTips