Veszélyes vírus kezdett terjedni a Facebookon

A Bleeping Computer nevű portál szerint egy Ov3r_Stealer nevű malware-ről van szó, amely kamu-álláshirdetésekben jelenik meg,

A portál szerint a hirdetésekben fiókmenedzseri pozíciókat ajánlanak a digitális marketing területén. Szerepel benne egy link is, amelyről azt írták, hogy oda kell küldeni a jelentkezéseket. Ez a link valójában olyan oldalra vezeti át a felhasználókat, ahonnan automatikusan letöltődik az Ov3r_Stealer programja.

Megjegyzendő, hogy a vírus egyelőre (ismereteink szerint) csak angol nyelvű hirdetésekben jelent meg, magyar példát még nem láttunk rá. A Bleeping Computer egy képernyőképet is közölt arról, hogyan néznek ki az átverős hirdetések.

Így működik

A Trustwave nevű kiberbiztonsági vállalat kutatói szerint ez a módszer nem újdonság,

A letöltött fájl egyébként egy DocuSign-dokumentumnak álcázva jelenik meg a számítógépeken, de valójában a rendszerfájlokat írja át egy folyamat részeként. Ha a folyamat egyszer végbemegy, akkor onnantól kezdve 90 percenként ismétlődik, és a víruson keresztül mindenféle program (internetes böngészők, böngészőbővítmények, kriptovaluta-pénztárcák stb.) adataihoz hozzájuthatnak az illetéktelenek.

A Trustwave szerint az ellopott adatok vélhetően egy telegramos hackerközösség tagjaihoz jutnak le. A vállalat szerint az Ov3r_Stealer kódolása hasonlít egy másik hasonló programéhoz, a Phemedronéhoz is, vagyis elképzelhető, hogy ez utóbbi alapján lett kifejlesztve.

A malware működéséről egyébként demóvideók is felkerültek az internetre, amiből a vállalat szerint arra lehet következtetni, hogy a fejlesztők megpróbálták eladni az Ov3r_Stealert más hekkereknek is. A felvételeket orosz és vietnámi felhasználók posztolták.