Киберпреступники используют поддельную рекламу для распространения вредоносных программ

Почему это важно: киберпреступники постоянно анализируют технологическое пространство в поисках новых способов эксплуатации пользователей и получения их личных данных. В прошлом фишинговые атаки использовались, чтобы обманом заставить пользователей предоставить конфиденциальную информацию, выдавая себя за надежный источник и запрашивая данные пользователя. Но, по данным организации Cisco по анализу угроз Talos, новая вредоносная кампания набирает обороты как эффективный метод сбора информации от неосведомленных пользователей.

Известная как вредоносная реклама, Cisco Talos Intelligence считает, что конкретная кампания, известная как «Magnat », использует мошенническую онлайн-рекламу, чтобы обмануть пользователей, которые ищут законные установщики программного обеспечения. Группа анализа угроз Cisco считает, что кампания Magnat могла начаться в конце 2018 года и нацелена на пользователей в Канаде, США, Австралии и ряде других европейских стран.

Как только пользователь попадает на мошенническую загрузку, он запускает поддельный установщик, который развертывает в его системе три различных вредоносных программы. Хотя поддельный установщик приступает к установке нескольких вредоносных компонентов, он не устанавливает фактическое приложение, которое изначально искал пользователь.

Первая часть вредоносного ПО — это похититель паролей, используемый для сбора учетных данных пользователей, часто с помощью распространенного инструмента, известного как Redline. Другая вредоносная программа, известная как MagnatBackdoor, настраивает удаленный доступ к устройству пользователя через Microsoft Remote Desktop. Этот доступ в сочетании с учетными данными пользователя, украденными Redline (или аналогичным инструментом), может обеспечить беспрепятственный доступ к системам пользователя, несмотря на то, что они защищены и защищены брандмауэром. Последней частью тройного вредоносного ПО является расширение для браузера Chrome, известное как MagnatExtension, которое используется для кейлоггинга, получения скриншотов конфиденциальной информации и т. д.

В августовском твите 2021 года были представлены скриншоты и образцы для загрузки предполагаемой вредоносной рекламы. Talos проанализировала образцы, упомянутые в твите, и подтвердила, что по крайней мере один образец содержит вредоносные компоненты MagnatBackdoor, MagnatExtension и Redline.

Талос считает, что инструменты Magnat разрабатывались и совершенствовались в течение нескольких лет, и в ближайшем будущем не ожидается никаких признаков снижения производительности. Имя пакета установщика постоянно меняется и обычно ссылается на название популярных приложений, чтобы повысить доверие и заставить пользователей развернуть пакет. Примеры прошлых имен пакетов включают viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe и battlefieldsetup_76522.exe.