Os agentes de ameaças estão usando anúncios de emprego #Facebook falsos para enganar as vítimas e fazê-las instalar o Ov3r_Stealer, um novo vírus ladrão baseado no Windows.
Ov3r_Stealer foi projetado para extrair localização baseada em endereço IP, detalhes de hardware, senhas, cookies, informações de cartão de crédito, preenchimentos automáticos, extensões de navegador, carteiras criptografadas, documentos do Microsoft Office e uma lista de produtos antivírus do host infectado.
O motivo da campanha permanece obscuro; no entanto, os dados roubados são frequentemente vendidos a outros agentes de ameaças. Ov3r_Stealer também pode ser modificado para implantar malware e outras cargas úteis, como QakBot.
O ataque começa com um arquivo PDF malicioso aparentemente hospedado no OneDrive, incentivando os usuários a clicar no botão “Acessar documento”.
A Trustwave descobriu o arquivo PDF postado em uma conta falsa do CEO da Amazon, Andy Jassy, no Facebook e em anúncios do Facebook promovendo oportunidades de publicidade digital.
Ao clicar no botão, os usuários são direcionados para um arquivo .URL que finge ser um documento DocuSign hospedado no CDN do Discord. Um arquivo de item do painel de controle (.CPL) é entregue por meio do arquivo de atalho e executado pelo binário do processo do Painel de Controle do Windows (“control.exe”).
A execução do arquivo CPL aciona a recuperação do carregador do PowerShell (“DATA1.txt”) do GitHub para executar Ov3r_Stealer.
