Злоумышленники используют поддельные объявления о вакансиях #Facebook , чтобы обманом заставить жертв установить Ov3r_Stealer, новый вирус-стилер для Windows.
Ov3r_Stealer предназначен для извлечения местоположения на основе IP-адреса, сведений об оборудовании, паролей, файлов cookie, информации о кредитных картах, автозаполнения, расширений браузера, криптокошельков, документов Microsoft Office и списка антивирусных продуктов с зараженного хоста.
Мотив кампании остается неясным; однако украденные данные часто продаются другим субъектам угроз. Ov3r_Stealer также может быть изменен для развертывания вредоносного ПО и других полезных нагрузок, таких как QakBot.
Атака начинается с вредоносного PDF-файла, который, по-видимому, размещен на OneDrive и побуждает пользователей нажать кнопку «Доступ к документу».
Trustwave обнаружила PDF-файл, размещенный на фальшивом аккаунте Facebook генерального директора Amazon Энди Джасси, а также в рекламных объявлениях Facebook, рекламирующих возможности цифровой рекламы.
При нажатии на кнопку пользователи перенаправляются на файл .URL, выдающий себя за документ DocuSign, размещенный в CDN Discord. Файл элемента панели управления (.CPL) доставляется через файл ярлыка и выполняется двоичным файлом процесса панели управления Windows («control.exe»).
Выполнение файла CPL запускает загрузчик PowerShell («DATA1.txt») из GitHub для выполнения Ov3r_Stealer.