Ein neuer Werbekampagne hat sich in der freien Wildbahn erfasst wurde. Der Zweck der Kampagne besteht darin, potenzielle Opfer zur Hinrichtung zu verleiten gefälschter Software-Installateure von populären Programmen, und schließlich herunterladen ein infostealer, ein hintertür und bösartige Chrome-Erweiterung. Die Entdeckung stammt von Cisco Talos-Forschern, die den Bedrohungsakteur hinter den Kampagnen glauben, genannt Magnat, ist bisher unbekannt.
Einblicke in die Malvertising-Kampagne von Magnat
Nach dem Bericht, Die Malvertising-Kampagne von Magnat besteht aus mehreren Malware-Verteilungsoperationen, die in . begannen 2018. Zielländer sind Kanada, die US-, Australien, und einige EU-Länder. Zuvor nicht dokumentierte Malware-Familien, inklusive einer Hintertür (bekannt als MagnatBackdoor) und eine Google Chrome-Erweiterung, werden in den Kampagnen ausgeliefert. Der Zweck des Ganzen? Finanzieller Gewinn aus dem Verkauf gestohlener Benutzerdaten, sowie betrügerische Transaktionen und Remote-Desktop-Zugriff auf kompromittierte Systeme über eine Hintertür.
Der Informationsdieb (entweder Azorult oder Redline) ist in der Lage, alle auf der Maschine des Opfers verfügbaren Anmeldeinformationen zu sammeln. Die Hintertür ist auch in der Lage, den Fernzugriff über eine versteckte Microsoft Remote Desktop-Sitzung einzurichten. Dies wird erreicht, indem der RDP-Port durch einen SSH-Tunnel weitergeleitet wird, Ermöglichen des Zugriffs auf Systeme, die mit einer Firewall ausgestattet sind. Die bösartige Browsererweiterung (welches Talos MagnatBackdoor nannte) enthält auch Funktionen zum Diebstahl von Informationen, einschließlich Keylogging-Funktionen und Screenshots.
Wie wird die bösartige Kampagne initiiert??
Dieser Teil der Malvertising-Kampagne von Magnat ist eine großartige Erinnerung daran, wie gefährlich es ist, Software aus ungeprüften Quellen herunterzuladen. Malvertising sein, a.k.a. böswillige Werbeaktion, Es beginnt mit dem Klicken auf eine Anzeige, die Links zu einer Webseite enthält, auf der das Opfer aufgefordert wird, ein Software-Installationsprogramm herunterzuladen. Cisco Talos sagt dass dieses Installationsprogramm verschiedene Dateinamen hat, einschließlich viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe und Battlefieldsetup_76522.exe.
Anstatt ein bestimmtes Softwareprogramm herunterzuladen, das Opfer führt einen bösartigen Loader aus.
„Der Installer/Loader ist ein SFX-7-Zip-Archiv oder ein Nullsoft-Installer, der einen legitimen AutoIt-Interpreter dekodiert und löscht, und drei verschleierte AutoIt-Skripte, die die endgültigen Nutzdaten im Speicher decodieren und in den Speicher eines anderen Prozesses einschleusen,“ sagte Talos. Die finalen Payloads der Magnat-Kampagne sind in fast allen Fällen gleich – infostealer, bösartige Erweiterung, und Hintertür wie oben beschrieben.
Abschließend, Die Forscher glauben, dass die Kampagnen auf dem Malvertising-Ansatz beruhen, um Nutzer zu erreichen, die an bestimmten Keywords im Zusammenhang mit Software interessiert sind. Potenziellen Opfern werden Links präsentiert, um beliebte Programme herunterzuladen, aber stattdessen Malware auszuführen. Diese Art von Bedrohung ist sehr effektiv, Wir empfehlen Ihnen daher, beim Herunterladen von Software aus dem Internet besonders wachsam zu sein.