Actorii de amenințări folosesc #Facebook anunțuri de locuri de muncă false pentru a păcăli victimele să instaleze Ov3r_Stealer, un nou virus de furt bazat pe Windows.
Ov3r_Stealer este conceput pentru a extrage locația bazată pe adrese IP, detalii hardware, parole, cookie-uri, informații despre cardul de credit, completări automate, extensii de browser, portofele cripto, documente Microsoft Office și o listă de produse antivirus de la gazda infectată.
Motivul campaniei rămâne neclar; cu toate acestea, datele furate sunt adesea vândute altor actori amenințări. Ov3r_Stealer poate fi, de asemenea, modificat pentru a implementa programe malware și alte sarcini utile, cum ar fi QakBot.
Atacul inițiază cu un fișier PDF rău intenționat găzduit aparent pe OneDrive, atrăgând utilizatorii să facă clic pe un buton „Acces document”.
Trustwave a descoperit fișierul PDF postat pe un cont fals de Facebook al CEO-ului Amazon, Andy Jassy, și reclame pe Facebook care promovează oportunități de publicitate digitală.
După ce fac clic pe butonul, utilizatorii sunt direcționați către un fișier .URL care se pretinde a fi un document DocuSign găzduit pe CDN-ul Discord. Un fișier de element din panoul de control (.CPL) este livrat prin fișierul de comandă rapidă și executat de procesul binar al panoului de control Windows („control.exe”).
Executarea fișierului CPL declanșează preluarea unui încărcător PowerShell („DATA1.txt”) din GitHub pentru a executa Ov3r_Stealer.
