新しい マルバタイジングキャンペーン 野生で検出されました. キャンペーンの目的は、潜在的な被害者をだまして実行させることです 偽のソフトウェアインストーラー 人気のあるプログラムの, そして最終的にダウンロード infostealer, a バックドア と 悪意のあるChrome拡張機能. 発見はCiscoTalosの研究者から来ています, キャンペーンの背後にある脅威アクターを信じている人, 吹き替えマグナ, 以前は不明です.
MagnatMalvertisingキャンペーンの内部
レポートによると, Magnatマルバタイジングキャンペーンは、で開始されたいくつかのマルウェア配布操作で構成されています 2018. 対象国にはカナダが含まれます, アメリカ, オーストラリア, および一部のEU諸国. 以前に文書化されていないマルウェアファミリー, バックドアを含む (MagnatBackdoorとして知られています) とGoogleChrome拡張機能, キャンペーンで配信されています. そのすべての目的? 盗まれたユーザーの資格情報を販売することによる金銭的利益, また、不正なトランザクションや、バックドアを介した侵害されたシステムへのリモートデスクトップアクセス.
情報スティーラー (AzorultまたはRedlineのいずれか) 被害者のマシンで利用可能なすべての資格情報を収集することができます. バックドアは、非表示のMicrosoftリモートデスクトップセッションを介してリモートアクセスを設定することもできます. これは、SSHトンネルを介してRDPポートを転送することで実現されます, ファイアウォールを備えたシステムへのアクセスを可能にする. 悪意のあるブラウザ拡張機能 (タロスはMagnatBackdoorと呼んだ) 情報を盗む機能も含まれています, キーロガー機能とスクリーンショットの撮影を含む.
悪意のあるキャンペーンはどのように開始されますか?
Magnatマルバタイジングキャンペーンのこの部分は、未確認のソースからソフトウェアをダウンロードすることがいかに危険であるかを思い出させるものです。. マルバタイジングであること, 別名. 悪意のある広告操作, まず、被害者にソフトウェアインストーラーのダウンロードを促すWebページへのリンクを含む広告をクリックします。. Cisco Talos 言う このインストーラーにはさまざまなファイル名があります, viber-25164.exeを含む, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exeおよびbattlefieldsetup_76522.exe.
特定のソフトウェアプログラムをダウンロードする代わりに, 被害者が悪意のあるローダーを実行する.
「インストーラー/ローダーは、SFX-7-Zipアーカイブまたは正規のAutoItインタープリターをデコードしてドロップするnullsoftインストーラーです。, そして、メモリ内の最終的なペイロードをデコードし、それらを別のプロセスのメモリに注入する3つの難読化されたAutoItスクリプト,タロスは言った. Magnatキャンペーンの最終的なペイロードは、ほとんどすべての場合で同じです– infostealer, 悪意のある拡張機能, 上記のバックドア.
結論は, 研究者は、キャンペーンがソフトウェアに関連する特定のキーワードに興味を持っているユーザーに到達するためにマルバタイジングアプローチに依存していると信じています. 潜在的な被害者には、人気のあるプログラムをダウンロードするためのリンクが表示されますが、代わりにマルウェアを実行します. この種の脅威は非常に効果的です, したがって、インターネットからソフトウェアをダウンロードする場合は、特に注意することをお勧めします。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: