En ny malvertising-kampagne er blevet påvist i naturen. Kampagnens formål er at narre potentielle ofre til at henrette falske software installatører af populære programmer, og til sidst downloade en infostealer, en bagdør og en ondsindet Chrome-udvidelse. Opdagelsen kommer fra Cisco Talos-forskere, som tror på trusselsaktøren bag kampagnerne, døbt Magnat, er hidtil ukendt.
Inde i Magnat Malvertising-kampagnen
Ifølge rapporten, Magnat-malvertising-kampagnen består af flere malware-distributionsoperationer, der startede i 2018. Målrettede lande omfatter Canada, USA., Australien, og nogle EU-lande. Tidligere udokumenterede malware-familier, inklusive en bagdør (kendt som MagnatBackdoor) og en Google Chrome-udvidelse, bliver leveret i kampagnerne. Formålet med det hele? Økonomisk gevinst ved at sælge stjålne brugeroplysninger, samt svigagtige transaktioner og Remote Desktop-adgang til kompromitterede systemer via en bagdør.
Informationstyveren (enten Azorult eller Redline) er i stand til at høste alle tilgængelige legitimationsoplysninger på ofrets maskine. Bagdøren er også i stand til at konfigurere fjernadgang via en skjult Microsoft Remote Desktop-session. Dette opnås ved at videresende RDP-porten gennem en SSH-tunnel, giver adgang til systemer udstyret med en firewall. Den ondsindede browserudvidelse (som Talos kaldte MagnatBackdoor) indeholder også funktioner til at stjæle oplysninger, herunder keylogging-funktioner og tage skærmbilleder.
Hvordan startes den ondsindede kampagne?
Denne del af Magnat-malvertising-kampagnen er en god påmindelse om, hvor farligt det er at downloade software fra ubekræftede kilder. At være en malvertiserende, a.k.a. ondsindet reklamehandling, det starter med at klikke på en annonce, der indeholder links til en webside, der beder offeret om at downloade et softwareinstallationsprogram. Cisco Talos siger at dette installationsprogram har forskellige filnavne, inklusive viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe og battlefieldsetup_76522.exe.
I stedet for at downloade et bestemt softwareprogram, offeret henretter en ondsindet loader.
"Installationsprogrammet/indlæseren er et SFX-7-Zip-arkiv eller et nullsoft-installationsprogram, der afkoder og dropper en legitim AutoIt-fortolker, og tre slørede AutoIt-scripts, der afkoder de endelige nyttelaster i hukommelsen og injicerer dem i hukommelsen af en anden proces," sagde Talos. Den endelige nyttelast af Magnat-kampagnen er den samme i næsten alle tilfælde – infostealer, ondsindet udvidelse, og bagdør beskrevet ovenfor.
Afslutningsvis, forskerne mener, at kampagnerne er afhængige af malvertising-tilgangen for at nå ud til brugere, der er interesserede i specifikke søgeord relateret til software. Potentielle ofre bliver præsenteret for links til at downloade populære programmer, men i stedet udføre malware. Denne type trussel er yderst effektiv, så vi råder dig til at være ekstra på vagt med at downloade software fra internettet.