Hvordan cyberkriminelle bruger annoncer i søgeresultater til at distribuere adgangskodestjælende malware Se nu
Cyberkriminelle bruger onlineannoncer for falske versioner af populær software til at narre brugere til at downloade tre former for malware – inklusive en ondsindet browserudvidelse med de samme egenskaber som trojansk malware – der giver angribere brugernavne og adgangskoder, samt fjernadgang til bagdøren til inficerede Windows-pc'er.
Angrebene, som distribuerer to former for tilsyneladende udokumenteret specialudviklet malware, er blevet detaljeret af cybersikkerhedsforskere hos Cisco Talos, som har kaldt kampagnen “magnat”. Det ser ud til, at kampagnen har fungeret i en vis kapacitet siden 2018, og malwaren har været i kontinuerlig udvikling.
Over halvdelen af ofrene er i Canada, men der har også været ofre rundt om i verden, herunder i USA, Europa, Australien og Nigeria.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Forskere mener, at ofre bliver narret til at downloade malwaren via malvertising – ondsindede onlineannoncer – der narrer dem til at downloade falske installatører af populær software til deres systemer. Brugerne leder sandsynligvis efter de legitime versioner af softwaren, men bliver dirigeret til de ondsindede versioner ved at reklamere.
Noget af den software, som brugere bliver narret til at downloade, inkluderer falske versioner af beskedapps såsom Viber og WeChat, såvel som falske installationsprogrammer til populære videospil som Battlefield.
Installationsprogrammet installerer ikke den annoncerede software, men installerer i stedet tre former for malware – en adgangskodetyver, en bagdør og en ondsindet browserudvidelse, som muliggør keylogging og tager skærmbilleder af, hvad den inficerede bruger ser på.
Password-tyveren, der distribueres i angrebene, er kendt som Redline, en relativt almindelig malware, der stjæler alle de brugernavne og adgangskoder, den finder på det inficerede system. Magnat distribuerede tidligere en anden adgangskodetyver, Azorult. Skiftet til Redline kom sandsynligvis, fordi Azorult, ligesom mange andre former for malware, holdt op med at fungere korrekt efter udgivelsen af Chrome 80 i februar 2020.
Selvom adgangskodetyvene begge er standard-malware, den tidligere udokumenterede bagdørsinstallatør – som forskere har kaldt MagnatBackdoor – ser ud til at være en mere skræddersyet form for malware, der er blevet distribueret siden 2019, selvom der er tidspunkter, hvor distributionen er stoppet i flere måneder.
MagnatBackdoor konfigurerer det inficerede Windows-system til at muliggøre stealthy remote desktop protocol (RDP)-adgang, samt tilføjelse af en ny bruger og planlægning af systemet til at pinge en kommando- og kontrolserver, der køres af angriberne med jævne mellemrum. Bagdøren tillader angribere i hemmelighed at få fjernadgang til pc'en, når det kræves.
Den tredje nyttelast er en downloader til en ondsindet Google Chrome-udvidelse, som forskere har navngivet MagnatExtension. Udvidelsen leveres af angriberne og kommer ikke fra Chrome Extension Store.
SE: Hackere bruger denne enkle teknik til at installere deres malware på pc'er
Denne udvidelse indeholder forskellige metoder til at stjæle data direkte fra webbrowseren, herunder muligheden for at tage skærmbilleder, stjæle cookies, stjæle oplysninger indtastet i formularer, samt en keylogger, som registrerer alt, hvad brugeren skriver i browseren. Alle disse oplysninger sendes derefter tilbage til angriberne.
Forskere har sammenlignet udvidelsens muligheder med en banktrojaner. De foreslår, at det ultimative formål med malware er at opnå brugeroplysninger, enten til salg på det mørke web eller til yderligere udnyttelse af angriberne. De cyberkriminelle bag MagnatBackdoor og MagnatExtension har brugt år på at udvikle og opdatere malwaren, og det vil sandsynligvis fortsætte.
“Disse to familier har været genstand for konstant udvikling og forbedring af deres forfattere – det er sandsynligvis ikke det sidste, vi hører om dem,” sagde Tiago Pereira, sikkerhedsforsker hos Cisco Talos.
“Vi mener, at disse kampagner bruger malvertising som et middel til at nå ud til brugere, der er interesserede i søgeord relateret til software og præsentere dem links til download af populær software. Denne type trussel kan være meget effektiv og kræver flere lag af sikkerhedskontroller er på plads, såsom slutpunktsbeskyttelse, netværksfiltrering og sikkerhedsbevidsthedssessioner,” tilføjede han.
MERE OM CYBERSIKKERHED
Ransomware: Nu udnytter angribere Windows PrintNightmare sårbarhederMasslogger Trojan genopfundet i søgen efter at stjæle Outlook, Chrome legitimationsoplysningerVirksomheder taler ikke om at være ofre for cyberangreb. Det skal ændresHackere henvender sig til denne simple teknik til at installere deres malware på pc'erFå patching: Cisco advarer om disse kritiske produktsårbarheder Security TV | Datastyring | CXO | Datacentre