注意！Facebook出现虚假招聘广告传播恶意软件

威胁行为者正在利用虚假的 Facebook 招聘广告作为诱饵，诱骗潜在目标安装代号为 Ov3r_Stealer 的基于 Windows 的新窃取恶意软件。

“这种恶意软件旨在窃取凭据和加密钱包，并将其发送到威胁行为者监控的 Telegram 频道，”Trustwave SpiderLabs 在与 The Hacker News 分享的一份报告中说。

Ov3r_Stealer 能够窃取基于 IP 地址的位置、硬件信息、密码、cookie、信用卡信息、自动填充、浏览器扩展、加密钱包、Microsoft Office 文档以及安装在受感染主机上的防病毒产品列表。

虽然该活动的确切最终目标尚不清楚，但被盗信息很可能被出售给其他威胁行为者。另一种可能性是，Ov3r_Stealer可以随着时间的推移而更新，以充当类似 QakBot 的加载器，用于其他有效载荷，包括勒索软件。

攻击的起点是一个武器化的PDF文件，该文件声称是托管在OneDrive上的文件，敦促用户单击嵌入其中的“访问文档”按钮。

Trustwave表示，它发现PDF文件是在冒充亚马逊首席执行官安迪·贾西（Andy Jassy）的虚假Facebook帐户上共享的，也是通过Facebook数字广告工作的广告共享的。

最终单击该按钮的用户将获得一个 Internet 快捷方式 （.URL） 文件，伪装成托管在 Discord 内容分发网络 （CDN） 上的 DocuSign 文档。然后，快捷方式文件充当传递控制面板项 （.CPL） 文件的管道，然后使用 Windows 控制面板进程二进制文件（“control.exe”）执行该文件。

执行 CPL 文件会导致从 GitHub 存储库检索 PowerShell 加载程序 （“DATA1.txt”） ，以最终启动 Ov3r_Stealer。

在这个阶段值得注意的是，趋势科技最近披露了一个几乎相同的感染链，威胁行为者利用 Microsoft Windows Defender SmartScreen 绕过漏洞（CVE-2023-36025，CVSS 分数：8.8）来删除另一个名为 Phemedrone Stealer 的窃取程序。

相似之处延伸到使用的 GitHub 存储库 （nateeintanan2527），并且Ov3r_Stealer共享代码级的事实与 Phemedrone 重叠。

“最近有报道称，这种恶意软件可能是Phemedrone被重新利用并重命名为Ov3r_Stealer，”Trustwave说。“两者之间的主要区别在于 Phemedrone 是用 C# 编写的。”

进一步巩固了这两种窃取恶意软件之间的联系，据观察，威胁行为者在其 Telegram 频道上分享了有关 Phemedrone Stealer 的新闻报道，以努力为其恶意软件即服务 （MaaS） 业务建立“街头信誉”。

“我的自定义窃取者是新的，显示了它是多么的逃避，我是它的开发者，现在很高兴，”威胁行为者说，他的网络别名刘光说，同时也对威胁行为者设法“逆转整个漏洞利用链”这一事实表示沮丧，尽管一切都“在内存中”。

调查结果发布之际，Hudson Rock 透露，威胁行为者正在利用从信息窃取者感染中获得的凭据来宣传他们对 Binance、Google、Meta 和 TikTok 等主要组织的执法请求门户的访问。

它们还伴随着一类名为 CrackedCantil 的感染的出现，这些感染利用破解的软件作为初始访问载体来丢弃 PrivateLoader 和 SmokeLoader 等加载程序，随后充当信息窃取者、加密矿工、代理僵尸网络和勒索软件的传递机制。