A Facebook hirdetéseiben kezdett el terjedni egy vírus, amellyel akár a felhasználók jelszavaihoz is hozzáférhetnek illetéktelen személyek.
A Bleeping Computer nevű portál szerint egy Ov3r_Stealer nevű malware-ről van szó, amely kamu-álláshirdetésekben jelenik meg,
és amellyel ellophatják a felhasználók jelszavát vagy éppen kriptovalutáját is.
A portál szerint a hirdetésekben fiókmenedzseri pozíciókat ajánlanak a digitális marketing területén. Szerepel benne egy link is, amelyről azt írták, hogy oda kell küldeni a jelentkezéseket. Ez a link valójában olyan oldalra vezeti át a felhasználókat, ahonnan automatikusan letöltődik az Ov3r_Stealer programja.
Megjegyzendő, hogy a vírus egyelőre (ismereteink szerint) csak angol nyelvű hirdetésekben jelent meg, magyar példát még nem láttunk rá. A Bleeping Computer egy képernyőképet is közölt arról, hogyan néznek ki az átverős hirdetések.
A Trustwave nevű kiberbiztonsági vállalat kutatói szerint ez a módszer nem újdonság,
de a malware súlyos veszélyt jelenthet, már csak a Facebook népszerűsége miatt is.
A letöltött fájl egyébként egy DocuSign-dokumentumnak álcázva jelenik meg a számítógépeken, de valójában a rendszerfájlokat írja át egy folyamat részeként. Ha a folyamat egyszer végbemegy, akkor onnantól kezdve 90 percenként ismétlődik, és a víruson keresztül mindenféle program (internetes böngészők, böngészőbővítmények, kriptovaluta-pénztárcák stb.) adataihoz hozzájuthatnak az illetéktelenek.
A Trustwave szerint az ellopott adatok vélhetően egy telegramos hackerközösség tagjaihoz jutnak le. A vállalat szerint az Ov3r_Stealer kódolása hasonlít egy másik hasonló programéhoz, a Phemedronéhoz is, vagyis elképzelhető, hogy ez utóbbi alapján lett kifejlesztve.
A malware működéséről egyébként demóvideók is felkerültek az internetre, amiből a vállalat szerint arra lehet következtetni, hogy a fejlesztők megpróbálták eladni az Ov3r_Stealert más hekkereknek is. A felvételeket orosz és vietnámi felhasználók posztolták.