Campañas Magnat que ofrecen instaladores falsos

Los especialistas en seguridad cibernética advierten sobre las oleadas de distribución maliciosa de Magnat dirigidas a los usuarios potenciales de algunos de los programas más populares.. Los actores de amenazas utilizan los métodos de publicidad maliciosa para distribuir con éxito su instalador de software malicioso. La obra se presenta especialmente delicada, ya que predispone a sus víctimas a un alto grado de confianza y sentimiento de legitimidad.. En la publicidad maliciosa, los actores de amenazas utilizan palabras clave relacionadas con el software buscado.. Y luego presentan a los usuarios desconocidos enlaces para descargar el software deseado.. Los especialistas señalan que en caso de este tipo de amenazas, sesiones de concienciación sobre seguridad, Debe haber protección de punto final y filtrado de red para garantizar la seguridad del sistema..

Las campañas maliciosas han estado sucediendo durante casi tres años.

Las campañas maliciosas han estado sucediendo durante casi tres años.. La actividad del malware comenzó en 2018 con numerosas direcciones C2 que los actores de amenazas utilizaron en cada mes de actividad. Sin embargo, uno de los dominios ya está[.]Actores de amenazas icu utilizados como MagnatExtension C2 solo en enero 2019. Todavía lo usan en la configuración obtenida de los servidores C2 como el C2 actualizado. En agosto de este año, un investigador de seguridad mencionó la campaña de publicidad maliciosa en su página de Twitter.. Publicaron capturas de pantalla de los anuncios y compartieron una de las muestras descargadas..

Los actores de amenazas se dirigieron principalmente a Canadá (50% del total de infecciones), Estados Unidos y Australia. También centraron sus esfuerzos en Noruega, España e Italia. Los especialistas en ciberseguridad añaden que los autores del malware mejoran periódicamente sus trabajos, actividad que muestra claramente que habrá otras inundaciones de olas maliciosas. El malware solo los especialistas disciernen uno es el ladrón de contraseñas y el otro una extensión de Chrome que funciona como un troyano bancario. El uso del tercer elemento de la puerta trasera RDP de malware distribuido sigue sin estar claro para los especialistas. Los dos primeros pueden usarse para obtener credenciales de usuario y venderlas o usarlas para sus propios fines futuros.. Mientras que el tercero, RDP, los actores de amenazas probablemente lo usarán para más explotación en sistemas o vender como acceso RDP.

En un ataque, un usuario buscaría el software deseado cuando se encontrara con un anuncio con un enlace.

En un ataque, un usuario buscaría el software deseado cuando se encontrara con un anuncio con un enlace.. Los redirige a una página web donde pueden descargar el software buscado.. Los atacantes nombraron las descargas con diferentes nombres.. Podría ser nox_setup_55606.exe, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe y viber-25164.exe. En la ejecución, no instalará el software real, sino el cargador malicioso en el sistema.. El instalador a su vez se desofusca y comienza la ejecución de tres payloads maliciosos: Ladrón de contraseñas ( Redline o Azorult), Instalador de extensiones de Chrome y puerta trasera RDP.

Los especialistas distinguen al instalador / cargador como un instalador de nullsoft que decodifica y suelta un intérprete legítimo de AutoIt o un archivo SFX-7-Zip. Aquí también vienen tres scripts AutoIt ofuscados que decodifican las cargas útiles finales en la memoria y las inyectan en la memoria a otro proceso.. Tres piezas específicas de malware componen las cargas útiles finales :

  • Un instalador para una extensión de Chrome que incluye varias funciones maliciosas para robar datos del navegador web.: keylogger, capturador de pantalla, un capturador de formularios, ladrón de cookies y ejecutor arbitrario de JavaScript;
  • Un ladrón de contraseñas de productos básicos. Inicialmente era Azorult y ahora es Redline. Ambos tienen funciones para robar todas las credenciales almacenadas en el sistema. Son universalmente conocidos en toda la comunidad.;
  • Una puerta trasera, o el instalador de puerta trasera configura el sistema para el acceso RDP, agrega un nuevo usuario. Y luego designa una tarea programada y periódicamente hace ping al C2. Según las instrucciones, crea un envío de túnel ssh saliente en el servicio RDP.
  • Acerca de Andrew Nail

    Periodista de ciberseguridad de Montreal, Canadá. Estudió ciencias de la comunicación en la Universite de Montreal.. No estaba seguro de si un trabajo de periodista es lo que quiero hacer en mi vida., pero en conjunto con las ciencias técnicas, es exactamente lo que me gusta hacer. Mi trabajo es captar las tendencias más actuales en el mundo de la ciberseguridad y ayudar a las personas a lidiar con el malware que tienen en sus PC..

    también puedes ver

    Los estafadores crean dominios para negociar acciones y criptomonedas

    Dominios de inversión para operar con acciones y criptomonedas falsas

    Al comienzo de 2021 expertos del centro CERT-GIB vieron un aumento significativo en …

    parte superior 10 las estafas más populares de 2021

    parte superior 10 la estafa de phishing más popular de 2021

    La analítica de Positive Technologies publicó recientemente un informe donde discutieron los más comunes …

    Deja una respuesta