Podmioty zagrażające wykorzystują fałszywe ogłoszenia o pracę #Facebook , aby nakłonić ofiary do zainstalowania Ov3r_Stealer, nowego wirusa kradnącego dla systemu Windows.
Ov3r_Stealer ma na celu wyodrębnienie lokalizacji opartej na adresie IP, szczegółów sprzętu, haseł, plików cookie, informacji o karcie kredytowej, automatycznych wypełnień, rozszerzeń przeglądarki, portfeli kryptograficznych, dokumentów Microsoft Office i listy produktów antywirusowych z zainfekowanego hosta.
Motywy kampanii pozostają niejasne; jednak skradzione dane są często sprzedawane innym podmiotom zagrażającym. Ov3r_Stealer można również zmodyfikować w celu wdrażania złośliwego oprogramowania i innych ładunków, takich jak QakBot.
Atak rozpoczyna się od złośliwego pliku PDF pozornie hostowanego w OneDrive, zachęcającego użytkowników do kliknięcia przycisku „Dostęp do dokumentu”.
Trustwave odkryło plik PDF opublikowany na fałszywym koncie dyrektora generalnego Amazona, Andy’ego Jassy’ego na Facebooku, oraz reklamy na Facebooku promujące możliwości reklamy cyfrowej.
Po kliknięciu przycisku użytkownicy są kierowani do pliku .URL udającego dokument DocuSign hostowany w CDN Discorda. Plik elementu panelu sterowania (.CPL) jest dostarczany za pośrednictwem pliku skrótu i wykonywany przez plik binarny procesu Panelu sterowania systemu Windows („control.exe”).
Wykonanie pliku CPL powoduje pobranie modułu ładującego PowerShell („DATA1.txt”) z GitHub w celu wykonania Ov3r_Stealer.
