Los especialistas en seguridad cibernética advierten sobre las oleadas de distribución maliciosa de Magnat dirigidas a los usuarios potenciales de algunos de los programas más populares.. Los actores de amenazas utilizan los métodos de publicidad maliciosa para distribuir con éxito su instalador de software malicioso. La obra se presenta especialmente delicada, ya que predispone a sus víctimas a un alto grado de confianza y sentimiento de legitimidad.. En la publicidad maliciosa, los actores de amenazas utilizan palabras clave relacionadas con el software buscado.. Y luego presentan a los usuarios desconocidos enlaces para descargar el software deseado.. Los especialistas señalan que en caso de este tipo de amenazas, sesiones de concienciación sobre seguridad, Debe haber protección de punto final y filtrado de red para garantizar la seguridad del sistema..
Las campañas maliciosas han estado sucediendo durante casi tres años.
Las campañas maliciosas han estado sucediendo durante casi tres años.. La actividad del malware comenzó en 2018 con numerosas direcciones C2 que los actores de amenazas utilizaron en cada mes de actividad. Sin embargo, uno de los dominios ya está[.]Actores de amenazas icu utilizados como MagnatExtension C2 solo en enero 2019. Todavía lo usan en la configuración obtenida de los servidores C2 como el C2 actualizado. En agosto de este año, un investigador de seguridad mencionó la campaña de publicidad maliciosa en su página de Twitter.. Publicaron capturas de pantalla de los anuncios y compartieron una de las muestras descargadas..
#RedLineStealer siendo entregado a través de instaladores de WeChat falsos, procedente de @GoogleAds .
.Código Postal -> .Yo asi -> .exehttps://t.co/J5npamHM1P
Crea una nueva cuenta de usuario, reenvía el puerto RDP, gotas RDPWrap… Maldita sea.
cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SeguridadAura) agosto 9, 2021
Los actores de amenazas se dirigieron principalmente a Canadá (50% del total de infecciones), Estados Unidos y Australia. También centraron sus esfuerzos en Noruega, España e Italia. Los especialistas en ciberseguridad añaden que los autores del malware mejoran periódicamente sus trabajos, actividad que muestra claramente que habrá otras inundaciones de olas maliciosas. El malware solo los especialistas disciernen uno es el ladrón de contraseñas y el otro una extensión de Chrome que funciona como un troyano bancario. El uso del tercer elemento de la puerta trasera RDP de malware distribuido sigue sin estar claro para los especialistas. Los dos primeros pueden usarse para obtener credenciales de usuario y venderlas o usarlas para sus propios fines futuros.. Mientras que el tercero, RDP, los actores de amenazas probablemente lo usarán para más explotación en sistemas o vender como acceso RDP.
En un ataque, un usuario buscaría el software deseado cuando se encontrara con un anuncio con un enlace.
En un ataque, un usuario buscaría el software deseado cuando se encontrara con un anuncio con un enlace.. Los redirige a una página web donde pueden descargar el software buscado.. Los atacantes nombraron las descargas con diferentes nombres.. Podría ser nox_setup_55606.exe, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe y viber-25164.exe. En la ejecución, no instalará el software real, sino el cargador malicioso en el sistema.. El instalador a su vez se desofusca y comienza la ejecución de tres payloads maliciosos: Ladrón de contraseñas ( Redline o Azorult), Instalador de extensiones de Chrome y puerta trasera RDP.
Los especialistas distinguen al instalador / cargador como un instalador de nullsoft que decodifica y suelta un intérprete legítimo de AutoIt o un archivo SFX-7-Zip. Aquí también vienen tres scripts AutoIt ofuscados que decodifican las cargas útiles finales en la memoria y las inyectan en la memoria a otro proceso.. Tres piezas específicas de malware componen las cargas útiles finales :
