Gli autori delle minacce utilizzano falsi annunci di lavoro #Facebook per indurre le vittime a installare Ov3r_Stealer, un nuovo virus stealer basato su Windows.
Ov3r_Stealer è progettato per estrarre posizione basata sull'indirizzo IP, dettagli hardware, password, cookie, informazioni sulla carta di credito, compilazioni automatiche, estensioni del browser, portafogli crittografici, documenti di Microsoft Office e un elenco di prodotti antivirus dall'host infetto.
Il motivo della campagna rimane poco chiaro; tuttavia, i dati rubati vengono spesso venduti ad altri autori di minacce. Ov3r_Stealer può anche essere modificato per distribuire malware e altri payload, come QakBot.
L'attacco inizia con un file PDF dannoso apparentemente ospitato su OneDrive, che invita gli utenti a fare clic su un pulsante "Accedi al documento".
Trustwave ha scoperto il file PDF pubblicato su un falso account Facebook del CEO di Amazon, Andy Jassy, e annunci pubblicitari su Facebook che promuovevano opportunità di pubblicità digitale.
Facendo clic sul pulsante, gli utenti vengono indirizzati a un file .URL che finge di essere un documento DocuSign ospitato sulla CDN di Discord. Un file di elemento del pannello di controllo (.CPL) viene fornito tramite il file di collegamento ed eseguito dal file binario del processo del Pannello di controllo di Windows ("control.exe").
L'esecuzione del file CPL attiva un recupero del caricatore PowerShell ("DATA1.txt") da GitHub per eseguire Ov3r_Stealer.