Cyberbeveiligingsspecialisten waarschuwen voor de kwaadaardige distributiegolven van Magnat die gericht zijn op de potentiële gebruikers van enkele van de meest populaire software. Bedreigingsactoren gebruiken de methoden van malvertising om hun schadelijke software-installatieprogramma met succes te verspreiden. Het werk presenteert zich bijzonder lastig omdat het zijn slachtoffers vatbaar maakt voor een hoge mate van vertrouwen en een gevoel van legitimiteit. Bij malvertising gebruiken bedreigingsactoren trefwoorden die verband houden met gezochte software. En dan presenteren ze aan onwetende gebruikers links om de gewenste software te downloaden. Specialisten wijzen erop dat bij dit soort bedreigingen, veiligheidsbewustzijn sessies, eindpuntbescherming en netwerkfiltering moeten aanwezig zijn om de veiligheid van het systeem te garanderen.
De kwaadaardige campagnes zijn al bijna drie jaar aan de gang
De kwaadaardige campagnes zijn al bijna drie jaar aan de gang. De malware-activiteit begon in 2018 met talloze C2-adressen die dreigingsactoren in elke maand van activiteit gebruikten. Een van de domeinen staat echter al klaar[.]icu-bedreigingsactoren gebruikt als de MagnatExtension C2 alleen in januari 2019. Ze gebruiken het nog steeds in de instellingen die zijn verkregen van de C2-servers als de bijgewerkte C2. In augustus van dit jaar noemde een beveiligingsonderzoeker de malvertising-campagne op hun Twitter-pagina. Ze plaatsten screenshots van de advertenties en deelden een van de gedownloade voorbeelden.
#RedLineStealer wordt geleverd via valse WeChat-installatieprogramma's, afkomstig uit @GoogleAds .
.rits -> .iso-> .exehttps://t.co/J5npamHM1P
Maakt een nieuw gebruikersaccount aan, stuurt RDP-poort door, druppels RDPWrap… Verdomd.
cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SecurityAura) augustus 9, 2021
Bedreigingsactoren waren vooral gericht op Canada (50% van de totale besmettingen), VS en Australië. Ook richtten ze hun inspanningen op Noorwegen, Spanje en Italië. Cyberbeveiligingsspecialisten voegen eraan toe dat auteurs van de malware hun werken regelmatig verbeteren, activiteit die duidelijk laat zien dat er andere overstromingen van kwaadaardige golven zullen zijn. Alleen de malware specialisten onderscheiden de ene is de wachtwoord-stealer en de andere een Chrome-extensie die werkt als een banktrojan. Het gebruik van het derde element van de gedistribueerde malware RDP-achterdeur blijft voor specialisten onduidelijk. De eerste twee kunnen worden gebruikt om gebruikersgegevens te verkrijgen en deze verder te verkopen of voor eigen toekomstige doeleinden te gebruiken. terwijl de derde, RDP, dreigingsactoren zullen het hoogstwaarschijnlijk gebruiken voor verdere exploitatie op systemen of verkopen als RDP-toegang.
Bij een aanval zou een gebruiker op zoek gaan naar de gewenste software wanneer hij een advertentie met een link tegenkomt
Bij een aanval zou een gebruiker op zoek gaan naar de gewenste software wanneer hij een advertentie met een link tegenkomt. Het leidt ze door naar een webpagina waar ze gezochte software kunnen downloaden. Aanvallers hebben de downloads verschillende namen gegeven. Het zou nox_setup_55606.exe kunnen zijn, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe en viber-25164.exe. Bij de uitvoering zal het niet de eigenlijke software installeren, maar in plaats daarvan de kwaadaardige lader op het systeem. Het installatieprogramma verduistert op zijn beurt en begint met de uitvoering van drie kwaadaardige payloads: Wachtwoord stelen ( Redline of Azorult), Chrome-extensie-installatieprogramma en RDP-backdoor.
Specialisten onderscheiden het installatieprogramma/lader als een nullsoft-installatieprogramma dat een legitieme AutoIt-interpreter of een SFX-7-Zip-archief decodeert en dropt. Hier komen ook drie versluierde AutoIt-scripts die de uiteindelijke payloads in het geheugen decoderen en in het geheugen injecteren voor een ander proces. Drie specifieke stukjes malware vormen de uiteindelijke payloads :
