I criminali informatici utilizzano pubblicità falsa per distribuire malware

9

Perché è importante: i criminali informatici analizzano costantemente lo spazio tecnologico alla ricerca di nuovi modi per sfruttare gli utenti e ottenere i loro dati personali. In passato, gli attacchi di phishing sono stati sfruttati per indurre gli utenti a fornire informazioni sensibili fingendosi una fonte credibile e richiedendo i dati dell’utente. Ma secondo l’organizzazione di intelligence sulle minacce Talos di Cisco, una nuova campagna dannosa sta prendendo piede come metodo efficace per raccogliere informazioni da utenti ignari.

Conosciuto come malvertising, Talos Intelligence di Cisco ritiene che una specifica campagna nota come " Magnat " utilizzi pubblicità fraudolenta online per ingannare gli utenti che cercano installatori di software legittimi. Il team di intelligence sulle minacce di Cisco ritiene che la campagna Magnat possa essere iniziata alla fine del 2018 e che si rivolga a utenti in Canada, Stati Uniti, Australia e diverse altre nazioni europee.

Una volta che un utente viene indirizzato al download fraudolento, esegue un programma di installazione falso che distribuisce tre distinti malware nel proprio sistema. Sebbene il programma di installazione falso inizi a funzionare installando più componenti malware, non installa l’applicazione effettiva che l’utente stava originariamente cercando.

Il primo malware è un password stealer utilizzato per raccogliere le credenziali degli utenti, spesso tramite uno strumento comune noto come Redline. Un altro malware, noto come MagnatBackdoor, configura l’accesso remoto al dispositivo dell’utente tramite Microsoft Remote Desktop. Questo accesso, combinato con le credenziali utente rubate da Redline (o uno strumento simile), può fornire accesso illimitato ai sistemi dell’utente nonostante siano protetti e protetti da firewall. L’ultimo pezzo del malware trifecta è un’estensione del browser Chrome nota come MagnatExtension, che viene utilizzata per il keylogging, ottenere schermate di informazioni sensibili, ecc.

Un tweet dell’agosto 2021 ha fornito screenshot e scaricato campioni di una sospetta campagna di malvertising. Talos ha analizzato i campioni a cui si fa riferimento nel tweet e ha verificato che almeno un campione conteneva i componenti malware MagnatBackdoor, MagnatExtension e Redline.

Talos ritiene che gli strumenti Magnat siano stati sviluppati e migliorati nel corso di diversi anni e non mostrino segni di rallentamento in tempi brevi. Il nome del pacchetto di installazione è in continua evoluzione e in genere fa riferimento al nome di applicazioni popolari per conferire credibilità e indurre gli utenti a distribuire il pacchetto. Esempi di nomi di pacchetti precedenti includono viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe e battlefieldsetup_76522.exe.

Fonte di registrazione: www.techspot.com

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More