Hvordan nettkriminelle bruker annonser i søkeresultater for å distribuere passord-stjele skadelig programvare Se nå
Cyberkriminelle bruker nettannonser for falske versjoner av populær programvare for å lure brukere til å laste ned tre former for skadelig programvare – inkludert en ondsinnet nettleserutvidelse med samme funksjoner som trojansk skadelig programvare – som gir angripere brukernavn og passord, samt ekstern tilgang bakdør til infiserte Windows-PCer.
Angrepene, som distribuerer to former for tilsynelatende udokumentert spesialutviklet skadelig programvare, er detaljert av cybersikkerhetsforskere ved Cisco Talos som har kalt kampanjen «magnat». Det ser ut til at kampanjen har fungert i en viss kapasitet siden 2018 og skadelig programvare har vært i kontinuerlig utvikling.
Over halvparten av ofrene er i Canada, men det har også vært ofre rundt om i verden, inkludert i USA, Europa, Australia og Nigeria.
SE: En vinnende strategi for nettsikkerhet (ZDNet spesialrapport)
Forskere tror at ofre blir lurt til å laste ned skadelig programvare via malvertising – ondsinnede nettannonser – som lurer dem til å laste ned falske installatører av populær programvare til systemene deres. Brukerne leter sannsynligvis etter de legitime versjonene av programvaren, men blir henvist til de ondsinnede versjonene ved å annonsere.
Noe av programvaren som brukere blir lurt til å laste ned inkluderer falske versjoner av meldingsapper som Viber og WeChat, samt falske installasjonsprogrammer for populære videospill som Battlefield.
Installasjonsprogrammet installerer ikke den annonserte programvaren, men installerer i stedet tre former for skadelig programvare – en passordtyver, en bakdør og en ondsinnet nettleserutvidelse, som muliggjør tastelogging og ta skjermbilder av hva den infiserte brukeren ser på.
Passordtyveren som distribueres i angrepene er kjent som Redline, en relativt vanlig skadelig programvare som stjeler alle brukernavn og passord den finner på det infiserte systemet. Magnat distribuerte tidligere en annen passordtyver, Azorult. Byttet til Redline kom sannsynligvis fordi Azorult, i likhet med mange andre former for skadelig programvare, sluttet å fungere som de skulle etter utgivelsen av Chrome 80 i februar 2020.
Selv om passordtyvere begge er råvareskadelig programvare, den tidligere udokumenterte bakdørsinstallatøren – som forskere har kalt MagnatBackdoor – ser ut til å være en mer skreddersydd form for skadelig programvare som har blitt distribuert siden 2019, selv om det er tider hvor distribusjonen har stoppet opp i flere måneder.
MagnatBackdoor konfigurerer det infiserte Windows-systemet for å aktivere stealthy remote desktop protocol (RDP)-tilgang, samt legge til en ny bruker og planlegge systemet til å pinge en kommando- og kontrollserver som drives av angriperne med jevne mellomrom. Bakdøren lar angripere i hemmelighet få ekstern tilgang til PC-en når det er nødvendig.
Den tredje nyttelasten er en nedlaster for en ondsinnet Google Chrome-utvidelse, som forskere har kalt MagnatExtension. Utvidelsen leveres av angriperne og kommer ikke fra Chrome Extension Store.
SE: Hackere bruker denne enkle teknikken for å installere skadelig programvare på PC-er
Denne utvidelsen inneholder ulike måter å stjele data direkte fra nettleseren på, inkludert muligheten til å ta skjermbilder, stjele informasjonskapsler, stjele informasjon angitt i skjemaer, samt en keylogger som registrerer alt brukeren skriver inn i nettleseren. All denne informasjonen sendes deretter tilbake til angriperne.
Forskere har sammenlignet mulighetene til utvidelsen med en banktrojaner. De antyder at det endelige målet med skadelig programvare er å skaffe brukerlegitimasjon, enten for salg på det mørke nettet eller for ytterligere utnyttelse av angriperne. De cyberkriminelle bak MagnatBackdoor og MagnatExtension har brukt år på å utvikle og oppdatere skadelig programvare, og det vil sannsynligvis fortsette.
“Disse to familiene har vært gjenstand for konstant utvikling og forbedring av forfatterne deres – dette er sannsynligvis ikke det siste vi hører om dem,” sa Tiago Pereira, en sikkerhetsforsker ved Cisco Talos.
“Vi tror at disse kampanjene bruker malvertising som et middel til å nå brukere som er interessert i søkeord relatert til programvare og presentere dem lenker for å laste ned populær programvare. Denne typen trussel kan være svært effektiv og krever flere lag av sikkerhetskontroller er på plass, for eksempel endepunktbeskyttelse, nettverksfiltrering og sikkerhetsbevissthetsøkter,” la han til.
MER OM CYBERSECURITY
Ransomware: Nå utnytter angripere Windows PrintNightmare-sårbarheterMasslogger Trojan gjenoppfunnet i søken etter å stjele Outlook, Chrome legitimasjonBedrifter snakker ikke om å være ofre for nettangrep. Det må endresHackere bruker denne enkle teknikken for å installere skadelig programvare på PC-erFå oppdatering: Cisco advarer om disse kritiske produktsårbarhetene Security TV | Databehandling | CXO | Datasentre