威胁行为者正在使用虚假的 #Facebook 招聘广告来欺骗受害者安装 Ov3r_Stealer,这是一种基于 Windows 的新型窃取病毒。
Ov3r_Stealer 旨在从受感染的主机中提取基于 IP 地址的位置、硬件详细信息、密码、cookie、信用卡信息、自动填充、浏览器扩展、加密钱包、Microsoft Office 文档以及防病毒产品列表。
该活动的动机仍不清楚;然而,被盗数据经常被出售给其他威胁行为者。 Ov3r_Stealer 也可能被修改以部署恶意软件和其他有效负载,例如 QakBot。
该攻击以看似托管在 OneDrive 上的恶意 PDF 文件发起,诱使用户单击“访问文档”按钮。
Trustwave 发现了在假亚马逊首席执行官 Andy Jassy Facebook 帐户上发布的 PDF 文件以及宣传数字广告机会的 Facebook 广告。
单击该按钮后,用户将被定向到一个 .URL 文件,该文件伪装成托管在 Discord 的 CDN 上的 DocuSign 文档。控制面板项 (.CPL) 文件通过快捷方式文件传递并由 Windows 控制面板进程二进制文件 (“control.exe”) 执行。
执行 CPL 文件会触发从 GitHub 检索 PowerShell 加载程序(“DATA1.txt”)以执行 Ov3r_Stealer。