Cyberkriminelle bruker falsk reklame for å distribuere skadelig programvare
Hvorfor det er viktig: Cyberkriminelle analyserer hele tiden teknologirommet for nye måter å utnytte brukere og skaffe seg personlige data på. Tidligere har phishing-angrep blitt utnyttet for å lure brukere til å oppgi sensitiv informasjon ved å utgi seg for å være en troverdig kilde og be om brukerens data. Men ifølge Ciscos Talos-trusselsetterretningsorganisasjon, har en ny ondsinnet kampanje fått gjennomslag som en effektiv metode for å høste informasjon fra uvitende brukere.
Ciscos Talos Intelligence, kjent som malvertising, mener at en spesifikk kampanje kjent som " Magnat " bruker uredelig nettannonsering for å lure brukere som søker etter legitime programvareinstallatører. Cisco trusseletterretningsteamet tror Magnat-kampanjen kan ha startet i slutten av 2018 og retter seg mot brukere i Canada, USA, Australia og flere andre europeiske nasjoner.
Når en bruker blir henvist til den uredelige nedlastingen, kjører de et falskt installasjonsprogram som distribuerer tre forskjellige deler av skadelig programvare til systemet deres. Mens det falske installasjonsprogrammet kommer i gang med å installere flere skadevarekomponenter, installerer det ikke den faktiske applikasjonen brukeren opprinnelig søkte etter.
Den første delen av skadelig programvare er en passordtyver som brukes til å samle brukerlegitimasjon, ofte via et vanlig verktøy kjent som Redline. En annen del av skadelig programvare, kjent som MagnatBackdoor, setter opp ekstern tilgang til brukerens enhet via Microsoft Remote Desktop. Denne tilgangen, kombinert med brukerlegitimasjonen stjålet av Redline (eller et lignende verktøy), kan gi uhindret tilgang til brukerens systemer til tross for at den er sikret og brannmur. Den siste delen av malware trifecta er en Chrome-nettleserutvidelse kjent som MagnatExtension, som brukes til tastelogging, innhenting av skjermbilder av sensitiv informasjon, etc.
En tweet fra august 2021 ga skjermbilder og last ned prøver av en mistenkt malvertising-kampanje. Talos analyserte prøvene som ble referert til i tweeten og bekreftet at minst én prøve inneholdt MagnatBackdoor, MagnatExtension og Redline malware-komponenter.
Talos mener Magnat-verktøyene har blitt utviklet og forbedret i løpet av flere år og viser ingen tegn til å avta med tiden. Installasjonspakkens navn er i stadig utvikling og refererer vanligvis til navnet på populære applikasjoner for å gi troverdighet og lure brukere til å distribuere pakken. Eksempler på tidligere pakkenavn inkluderer viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe og battlefieldsetup_76522.exe.