Ov3r_Stealer 惡意軟體傳播虛假 Facebook 招聘廣告以竊取個人數據
威脅行為者設計了一個狡猾的計劃,涉及 Facebook 上的虛假招聘廣告,利用它們作為部署新發現的基於 Windows 的竊取惡意軟體(稱為 Ov3r_Stealer)的網關。
Table of Contents
欺騙手法揭曉
這種作案手法首先是提供據稱來有信譽良好的公司的誘人工作機會,以吸引毫無戒心的個人。這些廣告提示使用者點擊嵌入在武器化 PDF 文件中的鏈接,偽裝成 OneDrive 上託管的合法文件。
揭露惡意負載
一旦受害者點擊該鏈接,他們就會被定向到 Discord 內容交付網絡 (CDN),其中提供互聯網快捷方式文件 (.URL)。此捷徑文件偽裝成 DocuSign 文檔,充當傳遞控制面板項目 (.CPL) 文件的管道。
攻擊的展開
執行後,CPL 檔案會觸發從 GitHub 儲存庫擷取 PowerShell 載入程序,該程式可充當啟動 Ov3r_Stealer 的跳板。這種複雜的惡意軟體旨在從受害者的系統中竊取大量敏感資訊。
Ov3r_Stealer 的軍火庫
一旦被釋放,Ov3r_Stealer 就會展現出一種多方面的資料外洩方法。它可以收集各種有價值的數據,包括憑證、加密錢包、IP 位址、硬體資訊、密碼、cookie、信用卡詳細資訊、瀏覽器擴展,甚至已安裝的防毒產品清單。
潛在的影響
雖然該活動背後的確切意圖尚不清楚,但被盜資料可能會在地下論壇上出售或用於促進進一步的網路攻擊。此外,Ov3r_Stealer 可能會隨著時間的推移而演變,有可能充當勒索軟體等更具破壞性的有效負載的傳遞機制。
警惕與防禦
鑑於 Ov3r_Stealer 的隱蔽性,受影響的使用者必須立即採取行動。採用強大的反惡意軟體解決方案可以幫助檢測和消除這種威脅,保護系統免受潛在危害。
February 7, 2024
