Un nuovo campagna pubblicitaria è stato rilevato nel selvaggio. Lo scopo della campagna è ingannare le potenziali vittime nell'esecuzione installatori software falsi di programmi popolari, ed eventualmente scaricare an Infostealer, un porta sul retro e estensione Chrome dannosa. La scoperta arriva dai ricercatori Cisco Talos, che credono all'attore della minaccia dietro le campagne, soprannominato Magnat, è precedentemente sconosciuto.
All'interno della campagna Magnat Malvertising
Secondo il rapporto, la campagna di malvertising di Magnat consiste in diverse operazioni di distribuzione di malware iniziate in 2018. I paesi presi di mira includono il Canada, gli Stati Uniti., Australia, e alcuni paesi dell'UE. Famiglie di malware precedentemente non documentate, inclusa una backdoor (noto come MagnatBackdoor) e un'estensione di Google Chrome, vengono consegnati nelle campagne. Lo scopo di tutto? Guadagno finanziario dalla vendita di credenziali utente rubate, nonché transazioni fraudolente e accesso desktop remoto a sistemi compromessi tramite una backdoor.
Il ladro di informazioni (o Azorult o Redline) è in grado di raccogliere tutte le credenziali disponibili sulla macchina della vittima. La backdoor è anche in grado di configurare l'accesso remoto tramite una sessione nascosta di Microsoft Remote Desktop. Ciò si ottiene inoltrando la porta RDP attraverso un tunnel SSH, consentire l'accesso a sistemi dotati di firewall. L'estensione del browser dannoso (che Talos chiamava MagnatBackdoor) contiene anche funzionalità di furto di informazioni, comprese le funzionalità di keylogging e l'acquisizione di schermate.
Come viene avviata la campagna dannosa??
Questa parte della campagna di malvertising di Magnat è un ottimo promemoria di quanto sia pericoloso scaricare software da fonti non verificate. Essere un malvertising, a.k.a. operazione pubblicitaria dannosa, inizia facendo clic su un annuncio che contiene collegamenti a una pagina Web che richiede alla vittima di scaricare un programma di installazione del software. Cisco Talos dice che questo programma di installazione ha vari nomi di file, incluso viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe e battlefieldsetup_76522.exe.
Invece di scaricare un particolare programma software, la vittima esegue un caricatore dannoso.
"L'installer/loader è un archivio SFX-7-Zip o un installer nullsoft che decodifica e rilascia un interprete AutoIt legittimo, e tre script AutoIt offuscati che decodificano i payload finali in memoria e li iniettano nella memoria di un altro processo,"Talos ha detto. I payload finali della campagna Magnat sono gli stessi in quasi tutti i casi – infostealer, estensione dannoso, e backdoor sopra descritti.
Insomma, i ricercatori ritengono che le campagne si basino sull'approccio del malvertising per raggiungere gli utenti interessati a parole chiave specifiche relative al software. Alle potenziali vittime vengono presentati collegamenti per scaricare programmi popolari ma eseguire invece malware. Questo tipo di minaccia è molto efficace, quindi ti consigliamo di essere molto attento con il download di software da Internet.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: