Az adatlopásos bűncselekményeknek számos formája létezik a kamu SMS-ektől a hivatalosnak álcázott weboldalakon át a kártevők célba juttatásáig, melyek közül messze az utóbbi tekinthető a legveszélyesebbnek, hiszen egy ügyesen összerakott vírus a mobilunkon vagy a számítógépünkön tárolt összes érzékeny információt képes lehet elszipkázni.
Egy ilyen malware bukkant most fel a Facebookon, amely egy csábító álláshirdetés mögé bújva jut el az áldozatok eszközeire. Az OV3r_Stealer néven futó vírusról a Bleeping Computer számolt be a programot felfedező Trustwave SpiderLabs nyomán. Ahogy az a kiberbiztonsági cég jelentéséből kiderül, a kártevő mögött álló csalók egy kamu Facebook-hirdetésben keresnek fiókmenedzsereket a digitális marketing területén, az állásra jelentkezőket pedig egy OneDrive-on tárolt PDF-fájl letöltésére kérik, amely állítólag a pozíció részleteit tartalmazza.
Csakhogy a linkre kattintva valójában egy "pdft2.cpl" nevű fájl töltődik le, ami egy DocuSign dokumentumnak álcázott vírust takar. A telepítést követően a Ov3r_Stealer mély hozzáférést szerezhet a Windowshoz, és alkalmazások széles köréből képes adatokat zsákmányolni: kriptopénztárcák, webböngészők, böngészős bővítmények, a Discord és már programok is nyitva állnak előtte.
A kártevő a potenciális áldozatok azonosítása érdekében a Windows rendszerleíró adatbázisát is át tudja fésülni, és képes dokumentumok után kutatni a helyi könyvtárakban. A vírus 90 percenként minden hozzáférhető információt összegyűjt, és az alábbi mintának megfelelő, geolokációs adatokat is tartalmazó összefoglaló jelentést küld róla egy Telegram botnak.
Azt pontosan nem tudni, kik állnak az Ov3r_Stealer mögött, de a TrustWave oktatóvideókat is talált a malware használatához, ami arra utal, hogy a fejlesztői más kiberbűnözőknek is árusítják, vagy bővítik a csapatukat. Az oktatóanyagokhoz köthető fiókok orosz és vietnámi nyelven beszéltek, de közben francia zászlót is használtak, így még az elkövetők nemzetisége is homályos.
Mindenesetre nem ez az első hasonló vírus, ahogy a fertőző letöltésekkel operáló kamu álláshirdetések is elterjedt támadási formának számítanak, ezért nem árt óvatosan eljárni a munkakeresésnél.
