Cybersikkerhedsspecialister advarer om Magnats ondsindede distributionsbølger rettet mod potentielle brugere af nogle af de mest populære software. Trusselaktører bruger metoderne til malvertising til succesfuldt at distribuere deres ondsindede softwareinstallationsprogram. Værket præsenterer sig især vanskeligt, da det disponerer sine ofre for en høj grad af tillid og følelse af legitimitet. Ved malvertising bruger trusselsaktører nøgleord relateret til søgt software. Og så præsenterer de for uvidende brugere links til at downloade ønsket software. Specialister påpeger, at i tilfælde af sådanne typer trusler, sikkerhedsbevidsthedssessioner, slutpunktsbeskyttelse og netværksfiltrering bør være på plads for at garantere systemets sikkerhed.
De ondsindede kampagner har stået på i næsten tre år
De ondsindede kampagner har stået på i næsten tre år. Malwareaktiviteten startede i 2018 med talrige C2-adresser, som trusselsaktører brugte i hver måneds aktivitet. Men et af domænerne stataready[.]icu trussel aktører brugt som MagnatExtension C2 kun i januar 2019. De bruger det stadig i indstillingerne fra C2-serverne som den opdaterede C2. I august i år nævnte en sikkerhedsforsker malvertising-kampagnen på deres Twitter-side. De postede skærmbilleder af annoncerne og delte en af de downloadede eksempler.
#RedLineStealer bliver leveret gennem falske WeChat-installatører, kommer fra @GoogleAds .
.zip -> .iso -> .exehttps://t.co/J5npamHM1P
Opretter en ny brugerkonto, videresender RDP-port, dropper RDPWrap… For pokker.
cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SecurityAura) august 9, 2021
Trusselsaktører var hovedsageligt målrettet mod Canada (50% af de samlede infektioner), USA og Australien. Også de fokuserede deres indsats på Norge, Spanien og Italien. Cybersikkerhedsspecialister tilføjer, at forfattere af malwaren regelmæssigt forbedrer deres værker, aktivitet, der tydeligt viser, at der vil være andre oversvømmelser af ondsindede bølger. Alene malwaren specialister skelner den ene er adgangskodetyveren og den anden en Chrome-udvidelse, der fungerer som en banktrojaner. Brugen af det tredje element i den distribuerede malware RDP-bagdør er stadig uklar for specialister. De to første kan bruges til at indhente brugeroplysninger og videresælge dem eller bruge dem til egne fremtidige formål. Mens den tredje, RDP, trusselsaktører vil højst sandsynligt bruge det til yderligere udnyttelse på systemer eller sælge som RDP-adgang.
I et angreb ville en bruger lede efter en ønsket software, når de støder på en annonce med et link
I et angreb ville en bruger lede efter en ønsket software, når de støder på en annonce med et link. Det omdirigerer dem til en webside, hvor de kan downloade søgt software. Angribere navngav downloads med forskellige navne. Det kunne være nox_setup_55606.exe, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe og viber-25164.exe. Ved udførelsen vil den ikke installere den faktiske software, men i stedet den ondsindede loader på systemet. Installationsprogrammet deobfuskerer på sin side og begynder udførelsen af tre ondsindede nyttelaster: Adgangskode stjæler ( Redline eller Azorult), Chrome Extension Installer og RDP-bagdør.
Specialister opfatter installatøren/indlæseren som et nullsoft-installatør, der afkoder og dropper en legitim AutoIt-fortolker eller et SFX-7-Zip-arkiv. Her kommer også tre slørede AutoIt-scripts, der afkoder de endelige nyttelaster i hukommelsen og injicerer dem i hukommelsen til en anden proces. Tre specifikke stykker malware udgør den endelige nyttelast :