Un nouveau campagne de publicité malveillante a été détecté à l'état sauvage. Le but de la campagne est d'inciter les victimes potentielles à exécuter faux programmes d'installation de logiciels des programmes populaires, et éventuellement télécharger un infostealer, une détourné et un extension Chrome malveillante. La découverte vient des chercheurs de Cisco Talos, qui croient l'acteur menaçant derrière les campagnes, surnommé Magnat, est auparavant inconnu.
Dans la campagne de publicité malveillante Magnat
Selon le rapport, la campagne de publicité malveillante Magnat consiste en plusieurs opérations de distribution de logiciels malveillants qui ont commencé en 2018. Les pays ciblés incluent le Canada, les Etats Unis., Australie, et certains pays de l'UE. Familles de logiciels malveillants auparavant non documentées, y compris une porte dérobée (connu sous le nom de MagnatBackdoor) et une extension Google Chrome, sont livrés dans les campagnes. Le but de tout? Gain financier résultant de la vente d'identifiants d'utilisateur volés, ainsi que les transactions frauduleuses et l'accès Bureau à distance aux systèmes compromis via une porte dérobée.
Le voleur d'informations (soit Azorult ou Redline) est capable de récolter toutes les informations d'identification disponibles sur la machine de la victime. La porte dérobée est également capable de configurer un accès à distance via une session Microsoft Remote Desktop masquée. Ceci est accompli en transférant le port RDP via un tunnel SSH, permettant l'accès aux systèmes équipés d'un pare-feu. L'extension de navigateur malveillante (que Talos a appelé MagnatBackdoor) contient également des fonctionnalités de vol d'informations, y compris les capacités d'enregistrement de frappe et la prise de captures d'écran.
Comment la campagne malveillante est-elle lancée?
Cette partie de la campagne de publicité malveillante Magnat rappelle à quel point il est dangereux de télécharger des logiciels à partir de sources non vérifiées.. Être un malvertising, A.K.A. opération de publicité malveillante, il commence par cliquer sur une annonce contenant des liens vers une page Web invitant la victime à télécharger un programme d'installation de logiciel. Cisco Talos dit que ce programme d'installation a différents noms de fichiers, y compris viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe et battlefieldsetup_76522.exe.
Au lieu de télécharger un logiciel particulier, la victime exécute un chargeur malveillant.
« Le programme d'installation/chargeur est une archive SFX-7-Zip ou un programme d'installation nullsoft qui décode et supprime un interpréteur AutoIt légitime, et trois scripts AutoIt obscurcis qui décodent les charges utiles finales en mémoire et les injectent dans la mémoire d'un autre processus," a déclaré Talos. Les charges utiles finales de la campagne Magnat sont les mêmes dans presque tous les cas – infostealer, l'extension malveillante, et porte dérobée décrite ci-dessus.
En conclusion, les chercheurs pensent que les campagnes reposent sur l'approche de la publicité malveillante pour atteindre les utilisateurs intéressés par des mots-clés spécifiques liés aux logiciels. Les victimes potentielles reçoivent des liens pour télécharger des programmes populaires mais exécutent à la place des logiciels malveillants. Ce type de menace est très efficace, nous vous conseillons donc d'être très vigilant en téléchargeant des logiciels sur Internet.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: