威脅行爲者正在使用虛假的 #Facebook 招聘廣告來欺騙受害者安裝 Ov3r_Stealer，這是一種基於 Windows 的新型竊取病毒。

Ov3r_Stealer 旨在從受感染的主機中提取基於 IP 地址的位置、硬件詳細信息、密碼、cookie、信用卡信息、自動填充、瀏覽器擴展、加密錢包、Microsoft Office 文檔以及防病毒產品列表。

該活動的動機仍不清楚；然而，被盜數據經常被出售給其他威脅行爲者。 Ov3r_Stealer 也可能被修改以部署惡意軟件和其他有效負載，例如 QakBot。

該攻擊以看似託管在 OneDrive 上的惡意 PDF 文件發起，誘使用戶單擊“訪問文檔”按鈕。

Trustwave 發現了在假亞馬遜首席執行官 Andy Jassy Facebook 帳戶上發佈的 PDF 文件以及宣傳數字廣告機會的 Facebook 廣告。

單擊該按鈕後，用戶將被定向到一個 .URL 文件，該文件僞裝成託管在 Discord 的 CDN 上的 DocuSign 文檔。控制面板項 (.CPL) 文件通過快捷方式文件傳遞並由 Windows 控制面板進程二進制文件 (“control.exe”) 執行。

執行 CPL 文件會觸發從 GitHub 檢索 PowerShell 加載程序（“DATA1.txt”）以執行 Ov3r_Stealer。

#BewareOfScams #TrendingTopic #SafetyTips