Cyber-Sicherheitsspezialisten warnen vor den bösartigen Verbreitungswellen von Magnat, die sich an potenzielle Benutzer der beliebtesten Software richten. Bedrohungsakteure verwenden die Methoden des Malvertising, um ihr Installationsprogramm für bösartige Software erfolgreich zu verteilen. Das Werk präsentiert sich besonders knifflig, da es seine Opfer zu einem hohen Maß an Vertrauen und Legitimitätsgefühl veranlagt. Beim Malvertising verwenden Bedrohungsakteure Schlüsselwörter, die sich auf gesuchte Software beziehen. Und dann präsentieren sie unwissenden Benutzern Links zum Herunterladen der gewünschten Software. Spezialisten weisen darauf hin, dass bei solchen Bedrohungen, Sicherheitsbewusstseinssitzungen, Endpunktschutz und Netzwerkfilterung sollten vorhanden sein, um die Sicherheit des Systems zu gewährleisten.
Die bösartigen Kampagnen laufen seit fast drei Jahren
Die bösartigen Kampagnen laufen seit fast drei Jahren. Die Malware-Aktivität begann in 2018 mit zahlreichen C2-Adressen, die Bedrohungsakteure in jedem Monat der Aktivität verwendet haben. Eine der Domänen ist jedoch bereits vorhanden[.]icu-Bedrohungsakteure nur im Januar als MagnatExtension C2 verwendet 2019. Sie verwenden es immer noch in den Einstellungen, die von den C2-Servern als aktualisiertes C2 abgerufen wurden. Im August dieses Jahres erwähnte ein Sicherheitsforscher die Malvertising-Kampagne auf seiner Twitter-Seite. Sie haben Screenshots der Anzeigen gepostet und eines der heruntergeladenen Beispiele geteilt.
#RedLineStealer über gefälschte WeChat-Installationsprogramme geliefert werden, kommen von @GoogleAds .
.Postleitzahl -> .iso -> .exehttps://t.co/J5npamHM1P
Erstellt ein neues Benutzerkonto, leitet RDP-Port weiter, lässt RDPWrap fallen… Verdammt.
cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SicherheitAura) August 9, 2021
Bedrohungsakteure zielten hauptsächlich auf Kanada (50% der Gesamtinfektionen), USA und Australien. Außerdem konzentrierten sie ihre Bemühungen auf Norwegen, Spanien und Italien. Cyber-Sicherheitsspezialisten fügen hinzu, dass die Autoren der Malware ihre Werke regelmäßig verbessern, Aktivität, die deutlich zeigt, dass es weitere Fluten bösartiger Wellen geben wird. Allein die Malware Spezialisten erkennen Einer ist der Passwort-Stealer und der andere eine Chrome-Erweiterung, die als Banking-Trojaner funktioniert. Die Verwendung des dritten Elements der verteilten Malware-RDP-Hintertür bleibt für Spezialisten unklar. Die ersten beiden können verwendet werden, um Benutzeranmeldeinformationen zu erhalten und sie weiter zu verkaufen oder für eigene zukünftige Zwecke zu verwenden. Während der dritte, RDP, Bedrohungsakteure werden es höchstwahrscheinlich für weitere Zwecke nutzen Ausbeutung auf Systemen oder als RDP-Zugang verkaufen.
Bei einem Angriff würde ein Nutzer nach einer gewünschten Software suchen, wenn er auf eine Anzeige mit einem Link stößt
Bei einem Angriff würde ein Nutzer nach einer gewünschten Software suchen, wenn er auf eine Anzeige mit einem Link stößt. Es leitet sie zu einer Webseite weiter, auf der sie gesuchte Software herunterladen können. Angreifer benannten die Downloads mit unterschiedlichen Namen. Es könnte nox_setup_55606.exe sein, Battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe und viber-25164.exe. Bei der Ausführung wird nicht die eigentliche Software installiert, sondern der bösartige Loader auf dem System. Das Installationsprogramm wiederum enthüllt und beginnt mit der Ausführung von drei bösartigen Payloads: Passwortdieb ( Redline oder Azorult), Chrome Extension Installer und RDP Backdoor.
Spezialisten erkennen den Installer/Loader als Nullsoft-Installer, der einen legitimen AutoIt-Interpreter oder ein SFX-7-Zip-Archiv dekodiert und löscht. Hier kommen auch drei verschleierte AutoIt-Skripte, die die endgültigen Nutzdaten im Speicher decodieren und in den Speicher zu einem anderen Prozess einschleusen. Drei spezifische Malware-Elemente bilden die endgültigen Nutzlasten :