ΑρχικήsecurityΚαμπάνια Magnat: Malware διαδίδεται μέσω ψεύτικων λήψεων software

Καμπάνια Magnat: Malware διαδίδεται μέσω ψεύτικων λήψεων software

Οι χάκερ χρησιμοποιούν διαδικτυακές διαφημίσεις για ψεύτικες εκδόσεις δημοφιλούς software για να εξαπατήσουν τους χρήστες να κατεβάσουν τρεις μορφές malware – συμπεριλαμβανομένης μιας κακόβουλης επέκτασης προγράμματος περιήγησης με τις ίδιες δυνατότητες με ένα trojan malware – που παρέχουν στους εισβολείς ονόματα χρήστη και κωδικούς πρόσβασης, καθώς και backdoor remote access σε μολυσμένα Windows PCs.

software malware Magnat

Οι επιθέσεις, οι οποίες διανέμουν δύο μορφές φαινομενικά μη τεκμηριωμένων προσαρμοσμένων ανεπτυγμένων malware, αναφέρθηκαν λεπτομερώς από ερευνητές κυβερνοασφάλειας της Cisco Talos, οι οποίοι ονόμασαν την καμπάνια ως “magnat”. Φαίνεται ότι η καμπάνια λειτουργεί από το 2018 και το κακόβουλο λογισμικό βρίσκεται σε συνεχή ανάπτυξη.

Πάνω από τα μισά από τα θύματα βρίσκονται στον Καναδά, αλλά υπήρξαν και θύματα σε όλο τον κόσμο, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, της Ευρώπης, της Αυστραλίας και της Νιγηρίας.

Δείτε επίσης: Μια απλή τεχνική ενισχύει τις εκστρατείες phishing για τη διάδοση malware

Οι ερευνητές πιστεύουν ότι τα θύματα εξαπατούνται για να κατεβάσουν το malware μέσω malvertising – κακόβουλων διαδικτυακών διαφημίσεων – που τα ξεγελούν ώστε να κατεβάσουν ψεύτικα προγράμματα εγκατάστασης δημοφιλούς software στα συστήματά τους. Οι χρήστες είναι πιθανό να αναζητούν τις νόμιμες εκδόσεις του software, αλλά κατευθύνονται στις κακόβουλες εκδόσεις μέσω διαφήμισης.

Τι περιλαμβάνει αυτό το software που εξαπατά τους χρήστες; Ψεύτικες εκδόσεις εφαρμογών ανταλλαγής μηνυμάτων όπως το Viber και το WeChat, καθώς και ψεύτικα προγράμματα εγκατάστασης για δημοφιλή βιντεοπαιχνίδια όπως το Battlefield.

software malware Magnat

Ο installer δεν εγκαθιστά το διαφημιζόμενο software, αλλά αντ’ αυτού εγκαθιστά τρεις μορφές malware – ένα πρόγραμμα password stealer, ένα backdoor και ένα κακόβουλο browser extension, που επιτρέπει το keylogging και τη λήψη screenshots του τι βλέπει ο μολυσμένος χρήστης.

Ο password stealer που διανέμεται στις επιθέσεις είναι γνωστός ως Redline, ένα σχετικά κοινό malware που κλέβει όλα τα usernames και τα passwords που βρίσκει στο μολυσμένο σύστημα. Η καμπάνια Magnat στο παρελθόν διένειμε έναν διαφορετικό password stealer, τον Azorult. Η αλλαγή στον Redline πιθανότατα έγινε επειδή ο Azorult, όπως και πολλές άλλες μορφές κακόβουλου λογισμικού, σταμάτησε να λειτουργεί σωστά μετά την κυκλοφορία του Chrome 80 τον Φεβρουάριο του 2020.

Δείτε επίσης: eCommerce servers στοχεύονται με malware που κρύβεται στους servers Nginx

Ενώ οι password stealers είναι και οι δύο off-the-shelf malware, το μη τεκμηριωμένο πρόγραμμα εγκατάστασης backdoor – το οποίο οι ερευνητές ονόμασαν MagnatBackdoor – φαίνεται να είναι μια πιο προσαρμοσμένη μορφή malware που διανέμεται από το 2019, αν και υπάρχουν φορές που η διανομή έχει σταματήσει για μήνες.

Το MagnatBackdoor διαμορφώνει το μολυσμένο σύστημα Windows ώστε να επιτρέπει την πρόσβαση στο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP). Προσθέτει έναν νέο χρήστη και προγραμματίζει το σύστημα να κάνει ping σε έναν command and control server που εκτελείται από τους εισβολείς σε τακτά χρονικά διαστήματα. Το backdoor επιτρέπει στους εισβολείς να αποκτήσουν κρυφά απομακρυσμένη πρόσβαση στον υπολογιστή όταν απαιτείται.

Το τρίτο payload είναι ένα πρόγραμμα λήψης για μια κακόβουλη επέκταση του Google Chrome, την οποία οι ερευνητές ονόμασαν MagnatExtension. Η επέκταση παρέχεται από τους εισβολείς και δεν προέρχεται από το Chrome Extension Store.

Magnat

Αυτή η επέκταση περιέχει διάφορα μέσα κλοπής δεδομένων απευθείας από το πρόγραμμα περιήγησης ιστού, συμπεριλαμβανομένης της δυνατότητας λήψης payload, της κλοπής cookie, της κλοπής πληροφοριών που έχουν εισαχθεί σε φόρμες, καθώς και ένα keylogger, το οποίο καταγράφει οτιδήποτε πληκτρολογεί ο χρήστης στον browser. Όλες αυτές οι πληροφορίες στη συνέχεια αποστέλλονται στους επιτιθέμενους.

Δείτε επίσης: Φινλανδία: Το Flubot banking malware μολύνει συσκευές Android

Οι ερευνητές έχουν παρομοιάσει τις δυνατότητες της επέκτασης με ένα banking trojan. Αναφέρουν ότι ο απώτερος στόχος του malware είναι να αποκτήσει user credentials, είτε προς πώληση στο dark web είτε για περαιτέρω εκμετάλλευση από τους εισβολείς. Οι εγκληματίες του κυβερνοχώρου πίσω από το MagnatBackdoor και το MagnatExtension έχουν περάσει χρόνια αναπτύσσοντας και ενημερώνοντας το malware και αυτό είναι πιθανό να συνεχιστεί.

Πηγή πληροφοριών: zdnet.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS