Een nieuw malvertising-campagne heeft in het wild waargenomen. Het doel van de campagne is om potentiële slachtoffers te misleiden tot executie valse software installateurs van populaire programma's, en uiteindelijk een . downloaden infostealer, een achterdeur en kwaadaardige Chrome-extensie. De ontdekking komt van Cisco Talos-onderzoekers, die de dreigingsactor achter de campagnes geloven, genaamd Magnat, is voorheen onbekend.
Binnen de Magnat Malvertising-campagne
Volgens het rapport, de Malvertising-campagne van Magnat bestaat uit verschillende bewerkingen voor het verspreiden van malware die zijn gestart in 2018. Getargete landen zijn onder meer Canada, de Verenigde Staten, Australië, en sommige EU-landen. Eerder ongedocumenteerde malwarefamilies, inclusief een achterdeur (bekend als MagnatBackdoor) en een Google Chrome-extensie, worden geleverd in de campagnes. Het doel van dit alles? Financieel gewin door de verkoop van gestolen gebruikersgegevens, evenals frauduleuze transacties en Remote Desktop-toegang tot gecompromitteerde systemen via een achterdeur.
De informatie-steeler (ofwel Azorult of Redline) is in staat om alle inloggegevens te verzamelen die beschikbaar zijn op de machine van het slachtoffer. De achterdeur kan ook externe toegang instellen via een verborgen Microsoft Remote Desktop-sessie. Dit wordt bereikt door de RDP-poort door te sturen via een SSH-tunnel, toegang geven tot systemen die zijn uitgerust met een firewall. De kwaadaardige browserextensie (die Talos MagnatBackdoor noemde) bevat ook functies voor het stelen van informatie, inclusief keylogging-mogelijkheden en screenshots maken.
Hoe wordt de kwaadaardige campagne gestart??
Dit deel van de Magnat malvertising-campagne is een goede herinnering aan hoe gevaarlijk het is om software te downloaden van niet-geverifieerde bronnen. Een malvertising zijn, a.k.a. kwaadwillende advertentiebewerking, het begint met het klikken op een advertentie die links bevat naar een webpagina waarin het slachtoffer wordt gevraagd een software-installatieprogramma te downloaden. Cisco Talos zegt dat dit installatieprogramma verschillende bestandsnamen heeft, inclusief viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe en battlefieldsetup_76522.exe.
In plaats van een bepaald softwareprogramma te downloaden, het slachtoffer voert een kwaadaardige loader uit.
“Het installatieprogramma/lader is een SFX-7-Zip-archief of een nullsoft-installatieprogramma dat een legitieme AutoIt-interpreter decodeert en laat vallen, en drie versluierde AutoIt-scripts die de uiteindelijke payloads in het geheugen decoderen en in het geheugen van een ander proces injecteren,” zei Talos. De uiteindelijke payloads van de Magnat-campagne zijn in bijna alle gevallen hetzelfde – infostealer, kwaadaardige uitbreiding, en achterdeur hierboven beschreven.
Tenslotte, de onderzoekers zijn van mening dat de campagnes afhankelijk zijn van de malvertising-aanpak om gebruikers te bereiken die geïnteresseerd zijn in specifieke zoekwoorden die verband houden met software. Potentiële slachtoffers krijgen links te zien om populaire programma's te downloaden, maar in plaats daarvan malware uit te voeren. Dit type dreiging is zeer effectief, dus we raden je aan extra waakzaam te zijn met het downloaden van software van internet.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: