Uma nova campanha de malvertising foi detectado na natureza. O objetivo da campanha é enganar as vítimas em potencial para que executem instaladores de software falsificado de programas populares, e, eventualmente, baixar um Infostealer, uma Porta dos fundos e uma extensão maliciosa do Chrome. A descoberta vem de pesquisadores do Cisco Talos, que acreditam no ator da ameaça por trás das campanhas, apelidado de Magnat, é previamente desconhecido.
Por dentro da campanha de Malvertising Magnat
De acordo com o relatório, a campanha de malvertising Magnat consiste em várias operações de distribuição de malware que começaram em 2018. Os países selecionados incluem Canadá, os EUA., Austrália, e alguns países da UE. Famílias de malware anteriormente não documentadas, incluindo uma porta dos fundos (conhecido como MagnatBackdoor) e uma extensão do Google Chrome, estão sendo entregues nas campanhas. O propósito de tudo? Ganho financeiro com a venda de credenciais de usuário roubadas, bem como transações fraudulentas e acesso à área de trabalho remota para sistemas comprometidos por meio de um backdoor.
O ladrão de informação (Azorult ou Redline) é capaz de coletar todas as credenciais disponíveis na máquina da vítima. O backdoor também é capaz de configurar o acesso remoto por meio de uma sessão oculta do Microsoft Remote Desktop. Isso é feito encaminhando a porta RDP por meio de um túnel SSH, permitindo o acesso a sistemas equipados com firewall. A extensão do navegador malicioso (que Talos chamou de MagnatBackdoor) também contém recursos de roubo de informações, incluindo recursos de keylogging e capturas de tela.
Como a campanha maliciosa é iniciada?
Esta parte da campanha de malvertising Magnat é um grande lembrete de como é perigoso baixar software de fontes não verificadas. Sendo um malvertising, a.k.a. operação de publicidade maliciosa, ele começa clicando em um anúncio que contém links para uma página da web solicitando que a vítima baixe um instalador de software. Cisco Talos diz que este instalador tem vários nomes de arquivo, incluindo viber-25164.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe, nox_setup_55606.exe e battlefieldsetup_76522.exe.
Em vez de baixar um programa de software específico, a vítima executa um carregador malicioso.
“O instalador / carregador é um arquivo SFX-7-Zip ou um instalador nullsoft que decodifica e descarta um interpretador AutoIt legítimo, e três scripts AutoIt ofuscados que decodificam as cargas úteis finais na memória e as injetam na memória de outro processo,”Talos disse. As cargas úteis finais da campanha Magnat são as mesmas em quase todos os casos - infostealer, extensão maliciosa, e backdoor descrito acima.
Em conclusão, os pesquisadores acreditam que as campanhas contam com a abordagem de malvertising para alcançar usuários interessados em palavras-chave específicas relacionadas a software. Vítimas em potencial recebem links para baixar programas populares, mas, em vez disso, executam malware. Este tipo de ameaça é altamente eficaz, por isso, aconselhamos que você seja extremamente vigilante ao baixar software da internet.