ผู้คุกคามกำลังใช้ประโยชน์จากโฆษณาการรับสมัครงานปลอมบน Facebook เพื่อหลอกล่อเป้าหมายให้ทำการติดตั้งมัลแวร์ขโมยข้อมูลบน Windows ตัวใหม่ที่มีชื่อรหัสว่า Ov3r_Stealer มัลแวร์นี้ได้รับการออกแบบมาเพื่อขโมย credentials หรือข้อมูลการรับรองตัวตน และ crypto wallet โดยจะส่งข้อมูลเหล่านี้ ไปยังช่องทาง Telegram ที่ผู้คุกคามสามารถตรวจสอบได้ โดย Ov3r_Stealer มีความสามารถในการดูดข้อมูลตำแหน่งตามที่อยู่ IP ข้อมูลฮาร์ดแวร์ รหัสผ่าน คุกกี้ ข้อมูลบัตรเครดิต การกรอกอัตโนมัติ ส่วนขยายเบราว์เซอร์ กระเป๋าเงินคริปโต เอกสาร Microsoft Office และรายการผลิตภัณฑ์แอนตี้ไวรัสที่ติดตั้งบนโฮสต์ที่ถูกบุกรุก แม้ว่าจะไม่ทราบเป้าหมายที่แท้จริงของแคมเปญ แต่มีแนวโน้มว่าข้อมูลที่ขโมยมานั้น จะถูกเสนอขายให้กับผู้คุกคามรายอื่น ความเป็นไปได้อีกอย่างหนึ่งก็คือ Ov3r_Stealer สามารถอัปเดตเมื่อเวลาผ่านไปเพื่อทำหน้าที่เป็นตัวโหลดที่คล้ายกับ QakBot สำหรับเพย์โหลดเพิ่มเติม รวมถึงแรนซัมแวร์ โดยขั้นตอนแรกของการโจมตีคือไฟล์ PDF ที่เป็นอันตราย ซึ่งอ้างว่าเป็นไฟล์ที่โฮสต์บน OneDrive โดยจะกระตุ้นให้ผู้ใช้งานคลิกที่ปุ่ม “เข้าถึงเอกสาร” ที่ฝังอยู่ในนั้น โดยไฟล์ PDF จะถูกแชร์บนบัญชี Facebook ปลอม ซึ่งแอบอ้างเป็น Andy Jassy ผู้บริหารระดับสูงของ Amazon รวมถึงผ่านโฆษณา Facebook สำหรับงานโฆษณาดิจิทัล ซึ่งผู้ใช้งานที่คลิกที่ปุ่มจะได้รับไฟล์ทาง shortcut (.URL) ที่ปลอมแปลงเป็นเอกสาร DocuSign ที่โฮสต์บนเครือข่ายการจัดส่งเนื้อหา (CDN) ของ Discord ไฟล์ shortcut จะทำหน้าที่เป็นสื่อกลางในการส่งไฟล์รายการแผงควบคุม (.CPL) ซึ่งจะถูกดำเนินการโดยใช้ไบนารีกระบวนการของแผงควบคุม Windows (” control.exe “) การดำเนินการของไฟล์ CPL นำไปสู่การดึงข้อมูลตัวโหลด PowerShell (“DATA1.txt”) จากพื้นที่เก็บข้อมูลใน GitHub เพื่อเปิดใช้มัลแวร์ Ov3r_Stealer ในขั้นตอนสุดท้าย
แหล่งข่าว https://thehackernews.com/2024/02/beware-fake-facebook-job-ads-spreading.html