A Bleeping Computer nevű portál szerint egy Ov3r_Stealer nevű malware-ről van szó, amely kamu-álláshirdetésekben jelenik meg,
ÉS AMELLYEL ELLOPHATJÁK A FELHASZNÁLÓK JELSZAVÁT VAGY ÉPPEN KRIPTOVALUTÁJÁT IS.
A portál szerint a hirdetésekben fiókmenedzseri pozíciókat ajánlanak a digitális marketing területén. Szerepel benne egy link is, amelyről azt írták, hogy oda kell küldeni a jelentkezéseket. Ez a link valójában olyan oldalra vezeti át a felhasználókat, ahonnan automatikusan letöltődik az Ov3r_Stealer programja.
Megjegyzendő, hogy a vírus egyelőre (ismereteink szerint) csak angol nyelvű hirdetésekben jelent meg, magyar példát még nem láttunk rá. A Bleeping Computer egy képernyőképet is közölt arról, hogyan néznek ki az átverős hirdetések.
Így működik
A Trustwave nevű kiberbiztonsági vállalat kutatói szerint ez a módszer nem újdonság,
DE A MALWARE SÚLYOS VESZÉLYT JELENTHET, MÁR CSAK A FACEBOOK NÉPSZERŰSÉGE MIATT IS.
A letöltött fájl egyébként egy DocuSign-dokumentumnak álcázva jelenik meg a számítógépeken, de valójában a rendszerfájlokat írja át egy folyamat részeként. Ha a folyamat egyszer végbemegy, akkor onnantól kezdve 90 percenként ismétlődik, és a víruson keresztül mindenféle program (internetes böngészők, böngészőbővítmények, kriptovaluta-pénztárcák stb.) adataihoz hozzájuthatnak az illetéktelenek.
A Trustwave szerint az ellopott adatok vélhetően egy telegramos hackerközösség tagjaihoz jutnak le. A vállalat szerint az Ov3r_Stealer kódolása hasonlít egy másik hasonló programéhoz, a Phemedronéhoz is, vagyis elképzelhető, hogy ez utóbbi alapján lett kifejlesztve.
A malware működéséről egyébként demóvideók is felkerültek az internetre, amiből a vállalat szerint arra lehet következtetni, hogy a fejlesztők megpróbálták eladni az Ov3r_Stealert más hekkereknek is. A felvételeket orosz és vietnámi felhasználók posztolták.