Cyberkriminelle verwenden gefälschte Werbung, um Malware zu verbreiten

Warum es wichtig ist: Cyberkriminelle analysieren ständig den Technologieraum nach neuen Wegen, um Benutzer auszunutzen und an ihre persönlichen Daten zu gelangen. In der Vergangenheit wurden Phishing-Angriffe genutzt, um Benutzer dazu zu verleiten, vertrauliche Informationen preiszugeben, indem sie sich als glaubwürdige Quelle ausgaben und die Daten des Benutzers anforderten. Aber laut Ciscos Talos Threat Intelligence Organization hat eine neue böswillige Kampagne als effektive Methode, um Informationen von unwissenden Benutzern zu sammeln, an Bedeutung gewonnen.

Talos Intelligence von Cisco ist als Malvertising bekannt und glaubt, dass eine bestimmte Kampagne namens „ Magnat ” betrügerische Online-Werbung verwendet, um Benutzer zu täuschen, die nach legitimen Software-Installern suchen. Das Cisco Threat Intelligence Team glaubt, dass die Magnat-Kampagne Ende 2018 begonnen haben könnte und sich an Benutzer in Kanada, den Vereinigten Staaten, Australien und mehreren anderen europäischen Ländern richtet.

Sobald ein Benutzer zu dem betrügerischen Download weitergeleitet wird, führt er ein gefälschtes Installationsprogramm aus, das drei verschiedene Malware-Teile auf seinem System bereitstellt. Während das gefälschte Installationsprogramm mehrere Malware-Komponenten installiert, installiert es nicht die eigentliche Anwendung, nach der der Benutzer ursprünglich gesucht hat.

Die erste Malware ist ein Passwortdieb, der verwendet wird, um Benutzeranmeldeinformationen zu sammeln, oft über ein gängiges Tool namens Redline. Eine andere Malware namens MagnatBackdoor richtet über Microsoft Remote Desktop einen Fernzugriff auf das Gerät des Benutzers ein. Dieser Zugriff, kombiniert mit den von Redline (oder einem ähnlichen Tool) gestohlenen Benutzeranmeldeinformationen, kann ungehinderten Zugriff auf die Systeme des Benutzers ermöglichen, obwohl diese gesichert und durch eine Firewall geschützt sind. Das letzte Stück der Malware-Trifecta ist eine Chrome-Browsererweiterung namens MagnatExtension, die zum Keylogging, zum Abrufen von Screenshots vertraulicher Informationen usw. verwendet wird.

Ein Tweet vom August 2021 lieferte Screenshots und Download-Beispiele einer mutmaßlichen Malvertising-Kampagne. Talos analysierte die im Tweet referenzierten Samples und verifizierte, dass mindestens ein Sample die Malware-Komponenten MagnatBackdoor, MagnatExtension und Redline enthielt.

Talos glaubt, dass die Magnat-Werkzeuge im Laufe mehrerer Jahre entwickelt und verbessert wurden und keine Anzeichen einer baldigen Verlangsamung zeigen. Der Name des Installationspakets wird ständig weiterentwickelt und verweist normalerweise auf den Namen beliebter Anwendungen, um Glaubwürdigkeit zu verleihen und Benutzer zur Bereitstellung des Pakets zu verleiten. Beispiele früherer Paketnamen sind viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe und battlefieldsetup_76522.exe.