Küberkurjategijad kasutavad pahavara levitamiseks võltsreklaame

Miks see on oluline? Küberkurjategijad analüüsivad pidevalt tehnoloogiaruumi, et leida uusi viise kasutajate ärakasutamiseks ja nende isikuandmete hankimiseks. Varem on andmepüügirünnakuid kasutatud selleks, et meelitada kasutajaid välja tundlikku teavet, esitades end usaldusväärse allikana ja küsides kasutaja andmeid. Kuid Cisco Talosi ohuluureorganisatsiooni andmetel on uus pahatahtlik kampaania hakanud jõudma tõhusa meetodina teadmata kasutajatelt teabe kogumiseks.

Cisco Talos Intelligence usub, et kampaania, mida tuntakse pahatahtlikuna , kasutab petturlikku veebireklaami, et petta kasutajaid, kes otsivad õigustatud tarkvara installijaid. Cisco ohuluure meeskond usub, et Magnati kampaania võis alata 2018. aasta lõpus ja on suunatud kasutajatele Kanadas, Ameerika Ühendriikides, Austraalias ja mitmes teises Euroopa riigis.

Kui kasutaja suunatakse petturliku allalaadimise juurde, käivitab ta võltsinstalliprogrammi, mis juurutab nende süsteemi kolm erinevat pahavara tükki. Kuigi võltsinstaller hakkab tööle mitme pahavarakomponendi installimisega, ei installi see tegelikku rakendust, mida kasutaja algselt otsis.

Esimene pahavara on paroolivaras, mida kasutatakse kasutaja mandaatide kogumiseks, sageli tavalise tööriista Redline kaudu. Teine pahavara, tuntud kui MagnatBackdoor, seadistab Microsoft Remote Desktopi kaudu kaugjuurdepääsu kasutaja seadmele. See juurdepääs koos Redline'i (või sarnase tööriista) varastatud kasutaja mandaatidega võib pakkuda piiramatut juurdepääsu kasutaja süsteemidele, hoolimata sellest, et see on kaitstud ja tulemüüriga kaetud. Pahavara trifecta viimane osa on Chrome'i brauseri laiendus, mida tuntakse MagnatExtensionina, mida kasutatakse klahvilogimiseks, tundliku teabe ekraanipiltide hankimiseks jne.

2021 aasta augusti säuts sisaldas ekraanipilte ja allalaadimisnäidiseid kahtlustatavast pahatahtlikust kampaaniast. Talos analüüsis säutsus viidatud proove ja kontrollis, et vähemalt üks proov sisaldas MagnatBackdoori, MagnatExtensioni ja Redline'i pahavara komponente.

Talos usub, et Magnati tööriistu on mitme aasta jooksul arendatud ja täiustatud ning neil pole märke peagi aeglustumisest. Installipaketi nimi areneb pidevalt ja viitab tavaliselt populaarsete rakenduste nimedele, et suurendada usaldusväärsust ja meelitada kasutajaid paketti juurutama. Varasemate paketinimede näideteks on viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe ja battlefieldsetup_76522.exe.