Ov3r_Stealer 恶意软件传播虚假 Facebook 招聘广告以窃取个人数据
威胁行为者设计了一个狡猾的计划,涉及 Facebook 上的虚假招聘广告,利用它们作为部署新发现的基于 Windows 的窃取恶意软件(称为 Ov3r_Stealer)的网关。
Table of Contents
欺骗手段揭晓
这种作案手法首先是提供据称来自信誉良好的公司的诱人工作机会,以吸引毫无戒心的个人。这些广告提示用户点击嵌入在武器化 PDF 文件中的链接,伪装成 OneDrive 上托管的合法文档。
揭露恶意负载
一旦受害者点击该链接,他们就会被定向到 Discord 内容交付网络 (CDN),其中提供互联网快捷方式文件 (.URL)。该快捷方式文件伪装成 DocuSign 文档,充当传递控制面板项 (.CPL) 文件的管道。
攻击的展开
执行后,CPL 文件会触发从 GitHub 存储库检索 PowerShell 加载程序,该加载程序充当启动 Ov3r_Stealer 的跳板。这种复杂的恶意软件旨在从受害者的系统中窃取大量敏感信息。
Ov3r_Stealer 的军火库
一旦被释放,Ov3r_Stealer 就会展现出一种多方面的数据泄露方法。它可以收集各种有价值的数据,包括凭据、加密钱包、IP 地址、硬件信息、密码、cookie、信用卡详细信息、浏览器扩展,甚至已安装的防病毒产品列表。
潜在的影响
虽然该活动背后的确切意图尚不清楚,但被盗数据可能会在地下论坛上出售或用于促进进一步的网络攻击。此外,Ov3r_Stealer 可能会随着时间的推移而演变,有可能充当勒索软件等更具破坏性的有效负载的传递机制。
警惕与防御
鉴于 Ov3r_Stealer 的隐蔽性,受影响的用户必须立即采取行动。采用强大的反恶意软件解决方案可以帮助检测和消除这种威胁,保护系统免受潜在危害。
February 7, 2024
