Magnat-kampanjer som leverer falske installatører

Cybersikkerhetsspesialister advarer om Magnats ondsinnede distribusjonsbølger rettet mot potensielle brukere av noen mest populære programvarer. Trusselaktører bruker metodene for malvertising for å lykkes med å distribuere skadelig programvareinstallasjon. Verket presenterer seg spesielt vanskelig ettersom det disponerer ofrene for en høy grad av tillit og følelse av legitimitet. I malvertising bruker trusselaktører nøkkelord relatert til søkt programvare. Og så presenterer de for uvitende brukere lenker for å laste ned ønsket programvare. Spesialister påpeker at i tilfelle slike typer trusler, økter for sikkerhetsbevissthet, endepunktbeskyttelse og nettverksfiltrering bør være på plass for å garantere sikkerheten til systemet.

De ondsinnede kampanjene har pågått i nesten tre år

De ondsinnede kampanjene har pågått i nesten tre år. Skadevareaktiviteten startet i 2018 med mange C2-adresser som trusselaktører brukte i hver måned med aktivitet. Men et av domenene er klart[.]icu trusselaktører brukt som MagnatExtension C2 bare i januar 2019. De bruker den fortsatt i innstillingene hentet fra C2-serverne som den oppdaterte C2. I august i år omtalte en sikkerhetsforsker malvertising-kampanjen på deres Twitter-side. De la ut skjermbilder av annonsene og delte en av de nedlastede prøvene.

Trusselaktører siktet stort sett mot Canada (50% av de totale infeksjonene), USA og Australia. Også de rettet innsatsen mot Norge, Spania og Italia. Spesialister på nettsikkerhet legger til at forfattere av skadelig programvare jevnlig forbedrer verkene sine, aktivitet som tydelig viser at det vil være andre flommer av ondsinnede bølger. Malware alene spesialister skjønner den ene er passordtyveren og den andre en Chrome-utvidelse som fungerer som en banktrojaner. Bruken av det tredje elementet i den distribuerte skadevare RDP-bakdøren er fortsatt uklar for spesialister. De to første kan brukes til å skaffe brukerlegitimasjon og videre selge dem eller bruke til egne fremtidige formål. Mens den tredje, RDP, trusselaktører mest sannsynlig vil bruke det til videre utnyttelse på systemer eller selge som RDP-tilgang.

I et angrep vil en bruker se etter ønsket programvare når de kommer over en annonse med en lenke

I et angrep vil en bruker se etter ønsket programvare når de kommer over en annonse med en lenke. Den omdirigerer dem til en nettside hvor de kan laste ned søkt programvare. Angripere kalte nedlastingene med forskjellige navn. Det kan være nox_setup_55606.exe, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe og viber-25164.exe. Ved kjøringen vil den ikke installere selve programvaren, men i stedet den ondsinnede lasteren på systemet. Installasjonsprogrammet deobfuskerer i sin tur og begynner kjøringen av tre ondsinnede nyttelaster: Passordtyver ( Redline eller Azorult), Chrome Extension Installer og RDP-bakdør.

Spesialister ser at installatøren/lasteren er et nullsoft-installatør som dekoder og slipper en legitim AutoIt-tolk eller et SFX-7-Zip-arkiv. Her kommer også tre obfuskerte AutoIt-skript som dekoder de endelige nyttelastene i minnet og injiserer dem i minnet til en annen prosess. Tre spesifikke deler av skadelig programvare utgjør den endelige nyttelasten :

  • Et installasjonsprogram for en chrome-utvidelse som inkluderer flere ondsinnede funksjoner for å stjele data fra nettleseren: keylogger, skjermdumper, en formfanger, informasjonskapselstyver og vilkårlig JavaScript-utfører;
  • En varepassordtyver. Opprinnelig var det Azorult og nå er det Redline. Begge har funksjoner for å stjele all legitimasjon som er lagret på systemet. De er universelt kjent i hele samfunnet;
  • En bakdør, eller bakdørsinstallatør konfigurerer systemet for RDP-tilgang, legger til en ny bruker. Og utnevner deretter en planlagt oppgave og pinger C2 regelmessig. På instruksjon oppretter den en utgående ssh-tunnel som sender på RDP-tjenesten.
  • Om Andrew Nail

    Cybersikkerhetsjournalist fra Montreal, Canada. Studerte kommunikasjonsvitenskap ved Universite de Montreal. Jeg var ikke sikker på om en journalistjobb er det jeg vil gjøre i livet mitt, men i forbindelse med tekniske vitenskaper, det er akkurat det jeg liker å gjøre. Min jobb er å fange opp de nyeste trendene i cybersikkerhetsverdenen og hjelpe folk til å håndtere skadelig programvare de har på PC-ene sine.

    Sjekk også

    topp 10 de mest populære svindel av 2021

    topp 10 den mest populære phishing-svindel av 2021

    The analytics from Positive Technologies recently published a report where they discussed the most common

    La Facebook Pixel Hunt begynne

    La Facebook Pixel Hunt begynne

    Mozilla, en nettleserprodusent, kunngjorde nylig samarbeidet med et non-profit nyhetsrom Markup. Kollektivet …

    Legg igjen et svar