사이버 보안 전문가는 가장 인기 있는 소프트웨어의 잠재적 사용자를 대상으로 하는 Magnat의 악성 배포 파동에 대해 경고합니다.. 위협 행위자는 악성 소프트웨어 설치 프로그램을 성공적으로 배포하기 위해 악성 광고 방법을 사용합니다.. 이 작업은 피해자에게 높은 수준의 신뢰와 정당성을 부여하기 때문에 특히 까다롭습니다.. 악성 광고에서 위협 행위자는 검색된 소프트웨어와 관련된 키워드를 사용합니다.. 그런 다음 모르는 사용자에게 원하는 소프트웨어를 다운로드할 수 있는 링크를 제공합니다.. 전문가들은 이러한 유형의 위협이 발생할 경우, 보안 인식 세션, 시스템의 안전을 보장하기 위해 엔드포인트 보호 및 네트워크 필터링이 있어야 합니다..
악성 캠페인은 거의 3년 동안 계속되었습니다.
악성 캠페인은 거의 3년 동안 계속되었습니다.. 멀웨어 활동이 시작된 날짜: 2018 위협 행위자가 매월 활동에 사용한 수많은 C2 주소. 그러나 도메인 중 하나는 이미[.]1월에만 MagnatExtension C2로 사용된 icu 위협 행위자 2019. 그들은 여전히 C2 서버에서 얻은 설정에서 업데이트된 C2로 사용합니다.. 올해 8월에 보안 연구원은 Twitter 페이지에서 악성 광고 캠페인을 언급했습니다.. 그들은 광고의 스크린샷을 게시하고 다운로드한 샘플 중 하나를 공유했습니다..
#레드라인스틸러 가짜 WeChat 설치 프로그램을 통해 전달됨, 에서 오는 @GoogleAds .
.지퍼 -> .이소 -> .EXEhttps://t.co/J5npamHM1P
새 사용자 계정을 만듭니다., RDP 포트를 전달, 방울 RDPWrap… 제길.
참조 @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— 영기 (@SecurityAura) 팔월 9, 2021
위협 행위자는 주로 캐나다를 대상으로 함 (50% 총 감염자 수), 미국과 호주. 또한 그들은 노르웨이에 그들의 노력을 집중했습니다., 스페인과 이탈리아. 사이버 보안 전문가는 맬웨어 작성자가 정기적으로 작업을 개선한다고 덧붙입니다., 악의적 인 파도의 다른 홍수가 있음을 분명히 보여주는 활동. 멀웨어 단독 전문가들이 분별하다 하나는 비밀번호 도용자이고 다른 하나는 뱅킹 트로이 목마로 작동하는 Chrome 확장 프로그램입니다.. 분산형 악성코드 RDP 백도어의 세 번째 요소 사용은 전문가에게 여전히 불분명. 처음 두 개는 사용자 자격 증명을 획득하고 추가로 판매하거나 향후 자체 용도로 사용하는 데 사용할 수 있습니다.. 세 번째 동안, RDP, 위협 행위자는 이를 더 많은 용도로 사용할 가능성이 큽니다. 착취 시스템에서 또는 RDP 액세스로 판매.
공격에서 사용자는 링크가 있는 광고를 발견할 때 원하는 소프트웨어를 찾습니다.
공격에서 사용자는 링크가 있는 광고를 발견할 때 원하는 소프트웨어를 찾습니다.. 검색된 소프트웨어를 다운로드할 수 있는 웹 페이지로 리디렉션합니다.. 공격자는 다운로드 이름을 다른 이름으로 지정했습니다.. nox_setup_55606.exe일 수 있습니다., battlefieldsetup_76522.exe, 위챗-35355.exe, 빌드_9.716-6032.exe, setup_164335.exe 및viber-25164.exe. 실행 시 실제 소프트웨어를 설치하지 않고 대신 시스템에 악성 로더를 설치합니다.. 설치 프로그램은 차례로 3개의 악성 페이로드를 난독화하고 실행을 시작합니다.: 비밀번호 도용자 ( 레드라인 또는 아조롤트), Chrome 확장 프로그램 설치 프로그램 및 RDP 백도어.
전문가는 설치 프로그램/로더를 합법적인 AutoIt 인터프리터 또는 SFX-7-Zip 아카이브를 디코딩하고 삭제하는 nullsoft 설치 프로그램으로 식별합니다.. 여기에 메모리의 최종 페이로드를 디코딩하고 메모리에 다른 프로세스에 주입하는 3개의 난독화된 AutoIt 스크립트도 있습니다.. 3개의 특정 맬웨어가 최종 페이로드를 구성합니다. :
