Os especialistas em segurança cibernética alertam sobre as ondas de distribuição maliciosas do Magnat direcionadas aos usuários em potencial de alguns dos softwares mais populares. Os agentes da ameaça usam métodos de malvertising para distribuir com sucesso o instalador do software malicioso. A obra se apresenta especialmente complicada, pois predispõe suas vítimas a um alto grau de confiança e sentimento de legitimidade. Em malvertising, os agentes de ameaças usam palavras-chave relacionadas ao software pesquisado. E então eles apresentam a usuários desconhecidos links para baixar o software desejado. Especialistas apontam que, no caso de tais tipos de ameaças, sessões de conscientização de segurança, proteção de endpoint e filtragem de rede devem estar em vigor para garantir a segurança do sistema.
As campanhas maliciosas acontecem há quase três anos
As campanhas maliciosas acontecem há quase três anos. A atividade de malware começou em 2018 com vários endereços C2 que os agentes de ameaças usaram em cada mês de atividade. No entanto, um dos domínios está pronto[.]Atores de ameaça icu usados como MagnatExtension C2 apenas em janeiro 2019. Eles ainda o usam nas configurações obtidas dos servidores C2 como o C2 atualizado. Em agosto deste ano, um pesquisador de segurança mencionou a campanha de malvertising em sua página do Twitter. Eles postaram capturas de tela dos anúncios e compartilharam uma das amostras baixadas.
#RedLineStealer sendo entregue por meio de instaladores WeChat falsos, vindo de @GoogleAds .
.fecho eclair -> .iso -> .Exehttps://t.co/J5npamHM1P
Cria uma nova conta de usuário, encaminha porta RDP, descarta RDPWrap… Droga.
cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SecurityAura) agosto 9, 2021
A maioria dos atores da ameaça visou o Canadá (50% do total de infecções), EUA e Austrália. Eles também concentraram seus esforços na Noruega, Espanha e Itália. Os especialistas em segurança cibernética acrescentam que os autores do malware melhoram regularmente seus trabalhos, atividade que mostra claramente que haverá outras inundações de ondas maliciosas. O malware sozinho especialistas discernem um sendo o ladrão de senhas e o outro uma extensão do Chrome que funciona como um cavalo de Troia bancário. O uso do terceiro elemento do backdoor RDP de malware distribuído permanece obscuro para os especialistas. Os dois primeiros podem ser usados para obter credenciais de usuário e posteriormente vendê-los ou usá-los para seus próprios fins futuros. Enquanto o terceiro, RDP, os atores da ameaça provavelmente o usarão para mais exploração em sistemas ou venda como acesso RDP.
Em um ataque, um usuário procuraria o software desejado ao encontrar um anúncio com um link
Em um ataque, um usuário procuraria o software desejado ao encontrar um anúncio com um link. Ele os redireciona para uma página da web onde podem fazer download do software pesquisado. Os invasores nomearam os downloads com nomes diferentes. Pode ser nox_setup_55606.exe, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe e viber-25164.exe. Na execução, ele não instalará o software real, mas sim o carregador malicioso no sistema. O instalador, por sua vez, desofusca e inicia a execução de três cargas maliciosas: Roubo de senha ( Redline ou Azorult), Instalador de extensão do Chrome e backdoor RDP.
Os especialistas consideram o instalador / carregador como um instalador nullsoft que decodifica e descarta um interpretador AutoIt legítimo ou um arquivo SFX-7-Zip. Aí vêm também três scripts AutoIt ofuscados que decodificam as cargas úteis finais na memória e as injetam na memória para outro processo. Três peças específicas de malware constituem as cargas finais :