脅威アクターは、偽の #Facebook job 広告を使用して、被害者をだまして新しい Windows ベースのスティーラー ウイルスである Ov3r_Stealer をインストールさせようとしています。
Ov3r_Stealer は、感染したホストから IP アドレスベースの場所、ハードウェアの詳細、パスワード、Cookie、クレジットカード情報、自動入力、ブラウザー拡張機能、暗号通貨ウォレット、Microsoft Office ドキュメント、およびウイルス対策製品のリストを抽出するように設計されています。
キャンペーンの動機は不明ですが、盗まれたデータは他の脅威アクターに販売されることがよくあります。Ov3r_Stealer は、マルウェアやその他のペイロード (QakBot など) を展開するように変更されることもあります。
攻撃は、OneDrive にホストされているように見える悪意のある PDF ファイルから始まり、ユーザーに [ドキュメントにアクセス] ボタンをクリックするように誘導します。
Trustwave は、偽の Amazon CEO Andy Jassy の Facebook アカウントに投稿された PDF ファイルと、デジタル広告の機会を宣伝する Facebook 広告を発見しました。
ボタンをクリックすると、ユーザーは Discord の CDN でホストされている DocuSign ドキュメントを装った .URL ファイルに誘導されます。コントロール パネル アイテム (.CPL) ファイルはショートカット ファイルを通じて配信され、Windows コントロール パネル プロセス バイナリ (“control.exe”) によって実行されます。
CPL ファイルを実行すると、GitHub から PowerShell ローダー (“DATA1.txt”) が取得され、Ov3r_Stealer が実行されます。
