Facebook假工作广告助长Ov3r_Stealer恶意软件传播

关键要点

• 假冒Facebook工作广告被用来传播新型的Ov3r_Stealer信息盗取恶意软件。
• 该恶意软件主要针对凭据、Microsoft Office文档、浏览器扩展、加密货币钱包和信用卡信息。
• 使用伪装成亚马逊首席执行官安迪·贾西的账户进行攻击。
• 恶意PDF引导用户点击“访问文档”按钮，随后重定向到伪装的DocuSign文档。
• Ov3r_Stealer的感染链与Phemedrone Stealer相似，并利用Windows Defender的安全漏洞。

根据，近期出现了利用虚假Facebook工作广告进行攻击的事件，这些攻击旨在推广新的Ov3r_Stealer信息盗取恶意软件。该恶意软件的目标包括用户凭据、MicrosoftOffice文档、浏览器扩展、加密货币钱包及信用卡信息。

攻击细节

攻击者利用一个假冒亚马逊首席执行官安迪·贾西的Facebook账户，并发布与Facebook数字广告职位相关的假工作信息。他们传播了一份恶意PDF，诱使受害者点击一个嵌入的“访问文档”按钮，该按钮最终会重定向至一个伪装成DocuSign文档的.URL文件，实际由一个Discord内容交付网络承载。根据TrustwaveSpiderLabs的报告，这种文件的使用便于向目标传递控制面板项文件与PowerShell加载程序，最终触发Ov3r_Stealer。

漏洞与研究

对Ov3r_Stealer感染链的进一步调查显示，该恶意软件的行为与PhemedroneStealer相似，后者利用了一个被标记为CVE-2023-36025的Windows DefenderSmartScreen规避漏洞。这促使研究人员推测，新的Ov3r_Stealer恶意软件可能是从Phemedrone改造而来。

通过这次事件，我们可以看到虚假广告和恶意软件攻击的结合是现代网络安全中的重大威胁。保护自身信息的关键在于保持警惕，不轻易点击来路不明的链接和下载未知文件。