Verkkorikolliset käyttävät väärennettyä mainontaa haittaohjelmien levittämiseen

8

Miksi sillä on merkitystä: Kyberrikolliset analysoivat jatkuvasti teknologiatilaa löytääkseen uusia tapoja hyödyntää käyttäjiä ja hankkia heidän henkilötietojaan. Aiemmin tietojenkalasteluhyökkäyksiä on käytetty huijaamaan käyttäjiä antamaan arkaluontoisia tietoja esiintymällä uskottavana lähteenä ja pyytämällä käyttäjän tietoja. Ciscon Talos-uhkatiedusteluorganisaation mukaan uusi haitallinen kampanja on kuitenkin saanut vetoa tehokkaana menetelmänä tiedon keräämiseen tietämättömiltä käyttäjiltä.

Ciscon Talos Intelligence uskoo, että " Magnat "-niminen kampanja, joka tunnetaan malvertisoimisena, käyttää vilpillistä verkkomainontaa huijatakseen käyttäjiä, jotka etsivät laillisia ohjelmistoasentajia. Ciscon uhkien tiedustelutiimi uskoo, että Magnat-kampanja on saattanut alkaa vuoden 2018 lopulla ja se kohdistuu käyttäjiin Kanadassa, Yhdysvalloissa, Australiassa ja useissa muissa Euroopan maissa.

Kun käyttäjä ohjataan vilpilliseen lataukseen, hän suorittaa väärennetyn asennusohjelman, joka asentaa heidän järjestelmään kolme erillistä haittaohjelmaa. Vaikka väärennetty asennusohjelma alkaa asentaa useita haittaohjelmakomponentteja, se ei asenna varsinaista sovellusta, jota käyttäjä alun perin etsi.

Ensimmäinen haittaohjelma on salasanojen varastaja, jota käytetään keräämään käyttäjätietoja, usein Redline -nimisen työkalun kautta. Toinen haittaohjelma, joka tunnetaan nimellä MagnatBackdoor, määrittää etäkäytön käyttäjän laitteelle Microsoft Remote Desktopin kautta. Tämä käyttöoikeus yhdistettynä Redlinen (tai vastaavan työkalun) varastamiin käyttäjätietoihin voi tarjota esteettömän pääsyn käyttäjän järjestelmiin, vaikka se on suojattu ja palomuuri. Haittaohjelman trifectan viimeinen osa on MagnatExtension-niminen Chrome-selainlaajennus, jota käytetään näppäinlokiin, arkaluontoisten tietojen kuvakaappausten hankkimiseen jne.

Elokuussa 2021 julkaistu twiitti sisälsi kuvakaappauksia ja ladattavia näytteitä epäillystä haitallisesta kampanjasta. Talos analysoi twiitissä mainitut näytteet ja varmisti, että ainakin yksi näyte sisälsi MagnatBackdoor-, MagnatExtension- ja Redline-haittaohjelmakomponentteja.

Talos uskoo, että Magnat-työkaluja on kehitetty ja parannettu useiden vuosien aikana, eivätkä ne näytä hidastumisen merkkejä lähiaikoina. Asennuspaketin nimi kehittyy jatkuvasti ja viittaa tyypillisesti suosittujen sovellusten nimiin uskottavuuden lisäämiseksi ja käyttäjien huijaamiseksi ottamaan paketin käyttöön. Esimerkkejä aiemmista paketin nimistä ovat viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe ja battlefieldsetup_76522.exe.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More