Magnat-campagnes leveren nep-installatieprogramma's

Cyberbeveiligingsspecialisten waarschuwen voor de kwaadaardige distributiegolven van Magnat die gericht zijn op de potentiële gebruikers van enkele van de meest populaire software. Bedreigingsactoren gebruiken de methoden van malvertising om hun schadelijke software-installatieprogramma met succes te verspreiden. Het werk presenteert zich bijzonder lastig omdat het zijn slachtoffers vatbaar maakt voor een hoge mate van vertrouwen en een gevoel van legitimiteit. Bij malvertising gebruiken bedreigingsactoren trefwoorden die verband houden met gezochte software. En dan presenteren ze aan onwetende gebruikers links om de gewenste software te downloaden. Specialisten wijzen erop dat bij dit soort bedreigingen, veiligheidsbewustzijn sessies, eindpuntbescherming en netwerkfiltering moeten aanwezig zijn om de veiligheid van het systeem te garanderen.

De kwaadaardige campagnes zijn al bijna drie jaar aan de gang

De kwaadaardige campagnes zijn al bijna drie jaar aan de gang. De malware-activiteit begon in 2018 met talloze C2-adressen die dreigingsactoren in elke maand van activiteit gebruikten. Een van de domeinen staat echter al klaar[.]icu-bedreigingsactoren gebruikt als de MagnatExtension C2 alleen in januari 2019. Ze gebruiken het nog steeds in de instellingen die zijn verkregen van de C2-servers als de bijgewerkte C2. In augustus van dit jaar noemde een beveiligingsonderzoeker de malvertising-campagne op hun Twitter-pagina. Ze plaatsten screenshots van de advertenties en deelden een van de gedownloade voorbeelden.

Bedreigingsactoren waren vooral gericht op Canada (50% van de totale besmettingen), VS en Australië. Ook richtten ze hun inspanningen op Noorwegen, Spanje en Italië. Cyberbeveiligingsspecialisten voegen eraan toe dat auteurs van de malware hun werken regelmatig verbeteren, activiteit die duidelijk laat zien dat er andere overstromingen van kwaadaardige golven zullen zijn. Alleen de malware specialisten onderscheiden de ene is de wachtwoord-stealer en de andere een Chrome-extensie die werkt als een banktrojan. Het gebruik van het derde element van de gedistribueerde malware RDP-achterdeur blijft voor specialisten onduidelijk. De eerste twee kunnen worden gebruikt om gebruikersgegevens te verkrijgen en deze verder te verkopen of voor eigen toekomstige doeleinden te gebruiken. terwijl de derde, RDP, dreigingsactoren zullen het hoogstwaarschijnlijk gebruiken voor verdere exploitatie op systemen of verkopen als RDP-toegang.

Bij een aanval zou een gebruiker op zoek gaan naar de gewenste software wanneer hij een advertentie met een link tegenkomt

Bij een aanval zou een gebruiker op zoek gaan naar de gewenste software wanneer hij een advertentie met een link tegenkomt. Het leidt ze door naar een webpagina waar ze gezochte software kunnen downloaden. Aanvallers hebben de downloads verschillende namen gegeven. Het zou nox_setup_55606.exe kunnen zijn, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe en viber-25164.exe. Bij de uitvoering zal het niet de eigenlijke software installeren, maar in plaats daarvan de kwaadaardige lader op het systeem. Het installatieprogramma verduistert op zijn beurt en begint met de uitvoering van drie kwaadaardige payloads: Wachtwoord stelen ( Redline of Azorult), Chrome-extensie-installatieprogramma en RDP-backdoor.

Specialisten onderscheiden het installatieprogramma/lader als een nullsoft-installatieprogramma dat een legitieme AutoIt-interpreter of een SFX-7-Zip-archief decodeert en dropt. Hier komen ook drie versluierde AutoIt-scripts die de uiteindelijke payloads in het geheugen decoderen en in het geheugen injecteren voor een ander proces. Drie specifieke stukjes malware vormen de uiteindelijke payloads :

  • Een installatieprogramma voor een Chrome-extensie die verschillende kwaadaardige functies bevat voor het stelen van gegevens uit de webbrowser: keylogger, schermafbeelding, een formulierengrijper, cookie-stealer en willekeurige JavaScript-uitvoerder;
  • Een standaard wachtwoord-stealer. Aanvankelijk was het Azorult en nu is het Redline. Beide hebben functies om alle inloggegevens te stelen die op het systeem zijn opgeslagen. Ze zijn algemeen bekend in de hele gemeenschap;
  • een achterdeur, of backdoor-installatieprogramma configureert het systeem voor RDP-toegang, voegt een nieuwe gebruiker toe. En benoemt vervolgens een geplande taak en pingt herhaaldelijk de C2. Op instructie creëert het een uitgaande ssh-tunnel die wordt verzonden op de RDP-service.
  • Over Andrew Nail

    Cybersecurity-journalist uit Montreal, Canada. Heeft communicatiewetenschappen gestudeerd aan Université de Montreal. Ik wist niet zeker of een journalistieke baan is wat ik in mijn leven wil doen, maar in combinatie met technische wetenschappen, het is precies wat ik graag doe. Het is mijn taak om de meest actuele trends in de cyberbeveiligingswereld op te vangen en mensen te helpen omgaan met malware die ze op hun pc's hebben.

    Controleer ook

    Microsoft meldt over malwaredetectie in Oekraïense organisaties

    Het is voorlopig onduidelijk wat de huidige fase is van de operationele cyclus van deze aanvaller en hoeveel slachtoffers bedreigingsacteurs het doelwit zijn in Oekraïne of andere geografische locaties

    In their blog Microsoft reports about malware attacks that have recently defaced several Ukrainian government

    Fraudeurs maken domeinen voor het verhandelen van aandelen en cryptocurrencies

    Investeringsdomeinen voor het verhandelen van nepaandelen en cryptocurrencies

    Aan het begin van 2021 experts van het CERT-GIB-centrum zagen een forse stijging van de …

    Laat een antwoord achter