Magnat-kampagner, der leverer falske installatører

Cybersikkerhedsspecialister advarer om Magnats ondsindede distributionsbølger rettet mod potentielle brugere af nogle af de mest populære software. Trusselaktører bruger metoderne til malvertising til succesfuldt at distribuere deres ondsindede softwareinstallationsprogram. Værket præsenterer sig især vanskeligt, da det disponerer sine ofre for en høj grad af tillid og følelse af legitimitet. Ved malvertising bruger trusselsaktører nøgleord relateret til søgt software. Og så præsenterer de for uvidende brugere links til at downloade ønsket software. Specialister påpeger, at i tilfælde af sådanne typer trusler, sikkerhedsbevidsthedssessioner, slutpunktsbeskyttelse og netværksfiltrering bør være på plads for at garantere systemets sikkerhed.

De ondsindede kampagner har stået på i næsten tre år

De ondsindede kampagner har stået på i næsten tre år. Malwareaktiviteten startede i 2018 med talrige C2-adresser, som trusselsaktører brugte i hver måneds aktivitet. Men et af domænerne stataready[.]icu trussel aktører brugt som MagnatExtension C2 kun i januar 2019. De bruger det stadig i indstillingerne fra C2-serverne som den opdaterede C2. I august i år nævnte en sikkerhedsforsker malvertising-kampagnen på deres Twitter-side. De postede skærmbilleder af annoncerne og delte en af ​​de downloadede eksempler.

Trusselsaktører var hovedsageligt målrettet mod Canada (50% af de samlede infektioner), USA og Australien. Også de fokuserede deres indsats på Norge, Spanien og Italien. Cybersikkerhedsspecialister tilføjer, at forfattere af malwaren regelmæssigt forbedrer deres værker, aktivitet, der tydeligt viser, at der vil være andre oversvømmelser af ondsindede bølger. Alene malwaren specialister skelner den ene er adgangskodetyveren og den anden en Chrome-udvidelse, der fungerer som en banktrojaner. Brugen af ​​det tredje element i den distribuerede malware RDP-bagdør er stadig uklar for specialister. De to første kan bruges til at indhente brugeroplysninger og videresælge dem eller bruge dem til egne fremtidige formål. Mens den tredje, RDP, trusselsaktører vil højst sandsynligt bruge det til yderligere udnyttelse på systemer eller sælge som RDP-adgang.

I et angreb ville en bruger lede efter en ønsket software, når de støder på en annonce med et link

I et angreb ville en bruger lede efter en ønsket software, når de støder på en annonce med et link. Det omdirigerer dem til en webside, hvor de kan downloade søgt software. Angribere navngav downloads med forskellige navne. Det kunne være nox_setup_55606.exe, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe og viber-25164.exe. Ved udførelsen vil den ikke installere den faktiske software, men i stedet den ondsindede loader på systemet. Installationsprogrammet deobfuskerer på sin side og begynder udførelsen af ​​tre ondsindede nyttelaster: Adgangskode stjæler ( Redline eller Azorult), Chrome Extension Installer og RDP-bagdør.

Specialister opfatter installatøren/indlæseren som et nullsoft-installatør, der afkoder og dropper en legitim AutoIt-fortolker eller et SFX-7-Zip-arkiv. Her kommer også tre slørede AutoIt-scripts, der afkoder de endelige nyttelaster i hukommelsen og injicerer dem i hukommelsen til en anden proces. Tre specifikke stykker malware udgør den endelige nyttelast :

  • Et installationsprogram til en chrome-udvidelse, der indeholder flere ondsindede funktioner til at stjæle data fra webbrowseren: keylogger, skærmbillede, en formfanger, cookie-tyver og vilkårlig JavaScript-eksekutor;
  • En adgangskodetyver for varer. Oprindeligt var det Azorult og nu er det Redline. Begge har funktioner til at stjæle alle de legitimationsoplysninger, der er gemt på systemet. De er alment kendt i hele samfundet;
  • En bagdør, eller bagdørsinstallatør konfigurerer systemet til RDP-adgang, tilføjer en ny bruger. Og udpeger derefter en planlagt opgave og pinger C2 igen. På instruktion opretter den en udgående ssh-tunnel, der sender på RDP-tjenesten.
  • Andrew Nail

    Cybersikkerhedsjournalist fra Montreal, Canada. Studerede kommunikationsvidenskab på Universite de Montreal. Jeg var ikke sikker på, om et journalistjob er det, jeg vil gøre i mit liv, men i forbindelse med tekniske videnskaber, det er præcis, hvad jeg kan lide at gøre. Mit job er at fange de mest aktuelle trends i cybersikkerhedsverdenen og hjælpe folk med at håndtere malware, de har på deres pc'er.

    Efterlad et Svar

    Tilbage til toppen knap