Pelaku ancaman menggunakan iklan pekerjaan #Facebook palsu untuk mengelabui korban agar menginstal Ov3r_Stealer, virus pencuri baru berbasis Windows.

Ov3r_Stealer dirancang untuk mengekstrak lokasi berbasis alamat IP, detail perangkat keras, kata sandi, cookie, info kartu kredit, pengisian otomatis, ekstensi browser, dompet kripto, dokumen Microsoft Office, dan daftar produk antivirus dari host yang terinfeksi.

Motif kampanye ini masih belum jelas; namun, data yang dicuri sering kali dijual kepada pelaku ancaman lainnya. Ov3r_Stealer juga dapat dimodifikasi untuk menyebarkan malware dan muatan lainnya, seperti QakBot.

Serangan dimulai dengan file PDF berbahaya yang tampaknya dihosting di OneDrive, menarik pengguna untuk mengklik tombol “Akses Dokumen”.

Trustwave menemukan file PDF yang diposting di akun Facebook CEO Amazon palsu Andy Jassy dan iklan Facebook yang mempromosikan peluang periklanan digital.

Setelah mengklik tombol tersebut, pengguna diarahkan ke file .URL yang berpura-pura menjadi dokumen DocuSign yang dihosting di CDN Discord. File item panel kontrol (.CPL) dikirimkan melalui file pintasan dan dijalankan oleh biner proses Panel Kontrol Windows (“control.exe”).

Mengeksekusi file CPL memicu pengambilan PowerShell loader (“DATA1.txt”) dari GitHub untuk mengeksekusi Ov3r_Stealer.

#BewareOfScams #TrendingTopic #SafetyTips