威胁行为者正在利用虚假的Facebook招聘广告作为诱饵，诱骗潜在目标安装代号为Ov3r_Stealer的新的基于Windows的窃取恶意软件。

“这种恶意软件旨在窃取凭据和加密钱包，并将其发送到威胁行为者监控的Telegram频道，”Trustwave SpiderLabs在与The Hacker News分享的一份报告中表示。

Ov3r_Stealer能够虹吸基于IP地址的位置，硬件信息，密码，cookie，信用卡信息，自动填充，浏览器扩展，加密钱包，Microsoft Office文档以及安装在受损主机上的防病毒产品列表。

虽然该活动的确切最终目标尚不清楚，但被盗信息很可能被销售给其他威胁行为者。另一种可能性是Ov3r_Stealer可以随着时间的推移进行更新，以充当类似QakBot的加载器，用于其他有效负载，包括勒索软件。

攻击的起点是一个武器化的PDF文件，该文件声称是OneDrive上托管的文件，敦促用户点击嵌入其中的“访问文档”按钮。

Trustwave表示，它发现了一个假冒亚马逊首席执行官安迪·贾西（Andy Jassy）的虚假Facebook账户上共享的PDF文件，以及通过Facebook广告进行数字广告工作。

最终点击该按钮的用户将获得一个互联网快捷方式（.URL）文件，该文件伪装成托管在Discord内容交付网络（CDN）上的DocuSign文档。然后，该快捷方式文件充当传递控制面板项（.CPL）文件的管道，然后使用Windows控制面板进程二进制文件（“control.exe“）执行该文件。

CPL文件的执行导致从GitHub存储库检索PowerShell加载器（“DATA1.txt”），以最终启动Ov3r_Stealer。

在这个阶段值得注意的是，趋势科技最近披露了一个几乎相同的感染链，威胁行为者利用Microsoft Windows Defender SmartScreen绕过漏洞（CVE-2023-36025，CVSS得分：8.8）来删除另一个名为Phemedrone Stealer的窃取者。

相似之处延伸到使用的GitHub存储库（nateeintanan2527）以及Ov3r_Stealer与Phemedrone共享代码级重叠的事实。

“这种恶意软件最近被报道，它可能是Phemedrone被重新利用，并更名为Ov3r_Stealer，”Trustwave说。“两者之间的主要区别是Phemedrone是用C#编写的。“

进一步巩固了两个窃取恶意软件之间的联系，已经观察到威胁行为者在其Telegram频道上分享关于Phemedrone Stealer的新闻报道，以努力为其恶意软件即服务（MaaS）业务建立“街头信誉”。

“我的自定义窃取器是在新的[s]上，显示它是多么的逃避，我是它的开发者，现在很高兴，”威胁演员，他在网上化名刘孔说，同时也对威胁猎人设法“扭转整个利用链”的事实表示沮丧，尽管一切都在“记忆中”。“

这些发现来自哈德逊洛克透露，威胁行为者正在通过利用从信息窃取者感染中获得的凭据来宣传他们对Binance，Google，Meta和TikTok等主要组织的执法请求门户网站的访问。

它们还遵循了一类名为CrackedCantil的感染的出现，这些感染利用破解的软件作为初始访问载体来删除PrivateLoader和SmokeLoader等加载器，随后充当信息窃取者，加密矿工，代理僵尸网络和勒索软件的交付机制。