Cyberbrottslingar använder falska reklam för att distribuera skadlig programvara
Varför det är viktigt: Cyberbrottslingar analyserar ständigt det tekniska utrymmet för nya sätt att utnyttja användare och få deras personliga data. Tidigare har nätfiskeattacker utnyttjats för att lura användare att tillhandahålla känslig information genom att utge sig för att vara en trovärdig källa och begära användarens data. Men enligt Ciscos Talos hot intelligence-organisation har en ny skadlig kampanj fått draghjälp som en effektiv metod för att samla information från okända användare.
Ciscos Talos Intelligence, känd som malvertising, tror att en specifik kampanj känd som " Magnat " använder bedräglig onlinereklam för att lura användare som söker efter legitima programvaruinstallatörer. Ciscos hotunderrättelseteam tror att Magnat-kampanjen kan ha startat i slutet av 2018 och riktar sig till användare i Kanada, USA, Australien och flera andra europeiska länder.
När en användare hänvisas till den bedrägliga nedladdningen kör de ett falskt installationsprogram som distribuerar tre olika delar av skadlig programvara till deras system. Medan det falska installationsprogrammet börjar arbeta med att installera flera skadliga komponenter, installerar det inte den faktiska applikationen som användaren ursprungligen sökte efter.
Den första delen av skadlig programvara är en lösenordsstöldare som används för att samla in användaruppgifter, ofta via ett vanligt verktyg känt som Redline. En annan skadlig programvara, känd som MagnatBackdoor, ställer in fjärråtkomst till användarens enhet via Microsoft Remote Desktop. Denna åtkomst, i kombination med användaruppgifterna som stulits av Redline (eller ett liknande verktyg), kan ge obegränsad åtkomst till användarens system trots att de är säkrade och brandväggar. Den sista biten av malware trifecta är en Chrome-webbläsartillägg känd som MagnatExtension, som används för tangentloggning, för att få skärmdumpar av känslig information, etc.
En tweet från augusti 2021 gav skärmdumpar och ladda ner exempel på en misstänkt malvertisingkampanj. Talos analyserade proverna som hänvisades till i tweeten och verifierade att minst ett prov innehöll de skadliga komponenterna MagnatBackdoor, MagnatExtension och Redline.
Talos tror att Magnat-verktygen har utvecklats och förbättrats under flera år och att de inte visar några tecken på att sakta ner inom kort. Installationspaketets namn utvecklas ständigt och refererar vanligtvis till namnet på populära applikationer för att ge trovärdighet och lura användare att distribuera paketet. Exempel på tidigare paketnamn inkluderar viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe och battlefieldsetup_76522.exe.