Los actores de amenazas están utilizando anuncios de empleo #Facebook falsos para engañar a las víctimas para que instalen Ov3r_Stealer, un nuevo virus ladrón basado en Windows.
Ov3r_Stealer está diseñado para extraer la ubicación basada en direcciones IP, detalles de hardware, contraseñas, cookies, información de tarjetas de crédito, autocompletar, extensiones de navegador, billeteras criptográficas, documentos de Microsoft Office y una lista de productos antivirus del host infectado.
El motivo de la campaña sigue sin estar claro; sin embargo, los datos robados suelen venderse a otros actores de amenazas. Ov3r_Stealer también puede modificarse para implementar malware y otras cargas útiles, como QakBot.
El ataque comienza con un archivo PDF malicioso aparentemente alojado en OneDrive, que incita a los usuarios a hacer clic en el botón "Acceder al documento".
Trustwave descubrió el archivo PDF publicado en una cuenta falsa de Facebook del director ejecutivo de Amazon, Andy Jassy, y anuncios de Facebook que promocionaban oportunidades de publicidad digital.
Al hacer clic en el botón, los usuarios son dirigidos a un archivo .URL que pretende ser un documento de DocuSign alojado en la CDN de Discord. Un archivo de elemento del panel de control (.CPL) se entrega a través del archivo de acceso directo y se ejecuta mediante el proceso binario del Panel de control de Windows (“control.exe”).
La ejecución del archivo CPL activa la recuperación del cargador PowerShell (“DATA1.txt”) desde GitHub para ejecutar Ov3r_Stealer.