Кіберзлочинці використовують підроблену рекламу для поширення шкідливого програмного забезпечення

Чому це важливо: кіберзлочинці постійно аналізують технологічний простір на предмет нових способів експлуатації користувачів і отримання їхніх особистих даних. У минулому фішингові атаки використовувалися, щоб обманом змусити користувачів надати конфіденційну інформацію, видаючи надійне джерело та запитуючи дані користувача. Але за даними організації Cisco Talos з розвідки загроз, нова зловмисна кампанія набирає популярності як ефективний метод збору інформації від невідомих користувачів.

Відомий як зловживання, Cisco Talos Intelligence вважає, що конкретна кампанія, відома як " Magnat ", використовує шахрайську онлайн-рекламу, щоб обдурити користувачів, які шукають законних установників програмного забезпечення. Команда розвідки загроз Cisco вважає, що кампанія Magnat могла розпочатися в кінці 2018 року і націлена на користувачів у Канаді, США, Австралії та кількох інших європейських країнах.

Після того, як користувач перенаправляється на шахрайське завантаження, він запускає підроблений інсталятор, який розгортає в їх системі три окремі частини шкідливого програмного забезпечення. Хоча підроблений інсталятор починає роботу, встановлюючи кілька компонентів шкідливого програмного забезпечення, він не встановлює фактичну програму, яку користувач спочатку шукав.

Перше зловмисне програмне забезпечення — це засіб крадіжки паролів, який використовується для збору облікових даних користувачів, часто за допомогою звичайного інструменту, відомого як Redline. Інша частина шкідливого програмного забезпечення, відома як MagnatBackdoor, налаштовує віддалений доступ до пристрою користувача через Microsoft Remote Desktop. Цей доступ у поєднанні з обліковими даними користувача, вкраденими Redline (або подібним інструментом), може забезпечити безперешкодний доступ до систем користувача, незважаючи на його захист та брандмауер. Останнім компонентом зловмисного програмного забезпечення є розширення для браузера Chrome, відоме як MagnatExtension, яке використовується для клавіатури, отримання скріншотів конфіденційної інформації тощо.

У твіті від серпня 2021 року надано знімки екрана та завантажені зразки підозрюваної рекламної кампанії. Talos проаналізував зразки, на які посилаються в твіті, і перевірив, що принаймні один зразок містить компоненти зловмисного програмного забезпечення MagnatBackdoor, MagnatExtension і Redline.

Талос вважає, що інструменти Magnat були розроблені та вдосконалені протягом кількох років і не виявляють ознак уповільнення найближчим часом. Ім'я пакета інсталятора постійно змінюється і зазвичай посилається на назви популярних програм, щоб підвищити довіру та обманом обманом розгорнути пакет. Приклади попередніх імен пакетів включають viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe та battlefieldsetup_76522.exe.