Les acteurs malveillants utilisent de fausses offres d'emploi #Facebook pour inciter leurs victimes à installer Ov3r_Stealer, un nouveau virus voleur basé sur Windows.
Ov3r_Stealer est conçu pour extraire l'emplacement basé sur l'adresse IP, les détails du matériel, les mots de passe, les cookies, les informations de carte de crédit, les remplissages automatiques, les extensions de navigateur, les portefeuilles cryptographiques, les documents Microsoft Office et une liste de produits antivirus de l'hôte infecté.
Le motif de la campagne reste flou ; cependant, les données volées sont souvent vendues à d’autres acteurs malveillants. Ov3r_Stealer peut également être modifié pour déployer des logiciels malveillants et d'autres charges utiles, telles que QakBot.
L'attaque démarre avec un fichier PDF malveillant apparemment hébergé sur OneDrive, incitant les utilisateurs à cliquer sur un bouton « Accéder au document ».
Trustwave a découvert le fichier PDF publié sur un faux compte Facebook du PDG d'Amazon, Andy Jassy, ainsi que des publicités Facebook faisant la promotion d'opportunités de publicité numérique.
En cliquant sur le bouton, les utilisateurs sont dirigés vers un fichier .URL prétendant être un document DocuSign hébergé sur le CDN de Discord. Un fichier d'élément du panneau de configuration (.CPL) est fourni via le fichier de raccourci et exécuté par le processus binaire du panneau de configuration Windows (« control.exe »).
L'exécution du fichier CPL déclenche la récupération d'un chargeur PowerShell (« DATA1.txt ») depuis GitHub pour exécuter Ov3r_Stealer.