Campanhas Magnat entregando instaladores falsos

Os especialistas em segurança cibernética alertam sobre as ondas de distribuição maliciosas do Magnat direcionadas aos usuários em potencial de alguns dos softwares mais populares. Os agentes da ameaça usam métodos de malvertising para distribuir com sucesso o instalador do software malicioso. A obra se apresenta especialmente complicada, pois predispõe suas vítimas a um alto grau de confiança e sentimento de legitimidade. Em malvertising, os agentes de ameaças usam palavras-chave relacionadas ao software pesquisado. E então eles apresentam a usuários desconhecidos links para baixar o software desejado. Especialistas apontam que, no caso de tais tipos de ameaças, sessões de conscientização de segurança, proteção de endpoint e filtragem de rede devem estar em vigor para garantir a segurança do sistema.

As campanhas maliciosas acontecem há quase três anos

As campanhas maliciosas acontecem há quase três anos. A atividade de malware começou em 2018 com vários endereços C2 que os agentes de ameaças usaram em cada mês de atividade. No entanto, um dos domínios está pronto[.]Atores de ameaça icu usados ​​como MagnatExtension C2 apenas em janeiro 2019. Eles ainda o usam nas configurações obtidas dos servidores C2 como o C2 atualizado. Em agosto deste ano, um pesquisador de segurança mencionou a campanha de malvertising em sua página do Twitter. Eles postaram capturas de tela dos anúncios e compartilharam uma das amostras baixadas.

A maioria dos atores da ameaça visou o Canadá (50% do total de infecções), EUA e Austrália. Eles também concentraram seus esforços na Noruega, Espanha e Itália. Os especialistas em segurança cibernética acrescentam que os autores do malware melhoram regularmente seus trabalhos, atividade que mostra claramente que haverá outras inundações de ondas maliciosas. O malware sozinho especialistas discernem um sendo o ladrão de senhas e o outro uma extensão do Chrome que funciona como um cavalo de Troia bancário. O uso do terceiro elemento do backdoor RDP de malware distribuído permanece obscuro para os especialistas. Os dois primeiros podem ser usados ​​para obter credenciais de usuário e posteriormente vendê-los ou usá-los para seus próprios fins futuros. Enquanto o terceiro, RDP, os atores da ameaça provavelmente o usarão para mais exploração em sistemas ou venda como acesso RDP.

Em um ataque, um usuário procuraria o software desejado ao encontrar um anúncio com um link

Em um ataque, um usuário procuraria o software desejado ao encontrar um anúncio com um link. Ele os redireciona para uma página da web onde podem fazer download do software pesquisado. Os invasores nomearam os downloads com nomes diferentes. Pode ser nox_setup_55606.exe, battlefieldsetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe e viber-25164.exe. Na execução, ele não instalará o software real, mas sim o carregador malicioso no sistema. O instalador, por sua vez, desofusca e inicia a execução de três cargas maliciosas: Roubo de senha ( Redline ou Azorult), Instalador de extensão do Chrome e backdoor RDP.

Os especialistas consideram o instalador / carregador como um instalador nullsoft que decodifica e descarta um interpretador AutoIt legítimo ou um arquivo SFX-7-Zip. Aí vêm também três scripts AutoIt ofuscados que decodificam as cargas úteis finais na memória e as injetam na memória para outro processo. Três peças específicas de malware constituem as cargas finais :

  • Um instalador para uma extensão do Chrome que inclui vários recursos maliciosos para roubar dados do navegador da web: keylogger, screenshotter, um pegador de formulários, ladrão de cookies e executor arbitrário de JavaScript;
  • Um ladrão de senhas de commodities. Inicialmente era Azorult e agora é Redline. Ambos têm funções para roubar todas as credenciais armazenadas no sistema. Eles são universalmente conhecidos em toda a comunidade;
  • Uma porta dos fundos, ou backdoor installer configura o sistema para acesso RDP, adiciona um novo usuário. E, em seguida, indica uma tarefa agendada e executa ping de forma recorrente no C2. Na instrução, ele cria um túnel ssh de saída, enviando no serviço RDP.
  • Sobre Andrew Nail

    Jornalista de segurança cibernética de Montreal, Canadá. Estudou ciências da comunicação na Universite de Montreal. Eu não tinha certeza se um trabalho de jornalista é o que eu quero fazer na minha vida, mas em conjunto com as ciências técnicas, é exatamente o que eu gosto de fazer. Meu trabalho é identificar as tendências mais atuais no mundo da segurança cibernética e ajudar as pessoas a lidar com o malware que têm em seus PCs.

    Além disso, verifique

    Fraudadores criam domínios para negociar ações e criptomoedas

    Domínios de investimento para negociar ações falsas e criptomoedas

    No começo de 2021 especialistas do centro CERT-GIB viram um aumento significativo na …

    topo 10 os golpes mais populares de 2021

    topo 10 o esquema de phishing mais popular de 2021

    A análise da Positive Technologies publicou recentemente um relatório onde discutiu os mais comuns …

    Deixe uma resposta