Un nuevo campaña de publicidad maliciosa se ha detectado en la naturaleza. El propósito de la campaña es engañar a las víctimas potenciales para que ejecuten instaladores de software falsos de programas populares, y eventualmente descargar un Infostealer, un puerta trasera y una extensión de Chrome maliciosa. El descubrimiento proviene de investigadores de Cisco Talos, que creen que el actor de amenazas detrás de las campañas, apodado Magnat, es previamente desconocido.
Dentro de la campaña de publicidad maliciosa de Magnat
De acuerdo con el informe, La campaña de publicidad maliciosa de Magnat consta de varias operaciones de distribución de malware que comenzaron en 2018. Los países objetivo incluyen Canadá, los Estados Unidos., Australia, y algunos países de la UE. Familias de malware previamente indocumentadas, incluyendo una puerta trasera (conocido como MagnatBackdoor) y una extensión de Google Chrome, se entregan en las campañas. El propósito de todo esto? Ganancia financiera por la venta de credenciales de usuario robadas, así como transacciones fraudulentas y acceso a escritorio remoto a sistemas comprometidos a través de una puerta trasera.
El ladrón de información (ya sea Azorult o Redline) es capaz de recopilar todas las credenciales disponibles en la máquina de la víctima. La puerta trasera también es capaz de configurar el acceso remoto a través de una sesión oculta de Microsoft Remote Desktop.. Esto se logra reenviando el puerto RDP a través de un túnel SSH, permitir el acceso a sistemas equipados con un cortafuegos. La extensión del navegador malicioso (que Talos llamó MagnatBackdoor) también contiene funciones de robo de información, incluidas las capacidades de registro de teclas y la toma de capturas de pantalla.
¿Cómo se inicia la campaña maliciosa??
Esta parte de la campaña de publicidad maliciosa de Magnat es un gran recordatorio de lo peligroso que es descargar software de fuentes no verificadas.. Ser un malvertising, a.k.a. operación publicitaria maliciosa, comienza haciendo clic en un anuncio que contiene enlaces a una página web que solicita a la víctima que descargue un instalador de software. Cisco Talos dice que este instalador tiene varios nombres de archivo, incluido viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe y battlefieldsetup_76522.exe.
En lugar de descargar un programa de software en particular, la víctima ejecuta un cargador malicioso.
“El instalador / cargador es un archivo SFX-7-Zip o un instalador nullsoft que decodifica y suelta un intérprete AutoIt legítimo, y tres scripts AutoIt ofuscados que decodifican las cargas útiles finales en la memoria y las inyectan en la memoria de otro proceso,"Talos dijo. Las cargas útiles finales de la campaña Magnat son las mismas en casi todos los casos - infostealer, extensión maliciosa, y puerta trasera descrita anteriormente.
En conclusión, Los investigadores creen que las campañas se basan en el enfoque de publicidad maliciosa para llegar a los usuarios interesados en palabras clave específicas relacionadas con el software.. A las víctimas potenciales se les presentan enlaces para descargar programas populares, pero en su lugar ejecutan malware. Este tipo de amenaza es muy eficaz, por lo que le recomendamos que esté especialmente atento a la descarga de software de Internet..