威胁行为者正在使用虚假的 #Facebook 招聘广告来欺骗受害者安装 Ov3r_Stealer，这是一种基于 Windows 的新型窃取病毒。

Ov3r_Stealer 旨在从受感染的主机中提取基于 IP 地址的位置、硬件详细信息、密码、cookie、信用卡信息、自动填充、浏览器扩展、加密钱包、Microsoft Office 文档以及防病毒产品列表。

该活动的动机仍不清楚；然而，被盗数据经常被出售给其他威胁行为者。 Ov3r_Stealer 也可能被修改以部署恶意软件和其他有效负载，例如 QakBot。

该攻击以看似托管在 OneDrive 上的恶意 PDF 文件发起，诱使用户单击“访问文档”按钮。

Trustwave 发现了在假亚马逊首席执行官 Andy Jassy Facebook 帐户上发布的 PDF 文件以及宣传数字广告机会的 Facebook 广告。

单击该按钮后，用户将被定向到一个 .URL 文件，该文件伪装成托管在 Discord 的 CDN 上的 DocuSign 文档。控制面板项 (.CPL) 文件通过快捷方式文件传递并由 Windows 控制面板进程二进制文件 (“control.exe”) 执行。

执行 CPL 文件会触发从 GitHub 检索 PowerShell 加载程序（“DATA1.txt”）以执行 Ov3r_Stealer。

#BewareOfScams #TrendingTopic #SafetyTips