Hur cyberbrottslingar använder annonser i sökresultat för att distribuera skadlig programvara som stjäl lösenord Titta nu
Cyberbrottslingar använder onlineannonser för falska versioner av populär programvara för att lura användare att ladda ner tre former av skadlig programvara – inklusive ett skadligt webbläsartillägg med samma möjligheter som skadlig programvara från trojan – som ger angripare användarnamn och lösenord, samt fjärråtkomst bakdörr till infekterade Windows-datorer.
Attackerna, som distribuerar två former av till synes odokumenterad specialutvecklad skadlig programvara, har detaljerats av cybersäkerhetsforskare på Cisco Talos som har kallat kampanjen “magnat”. Det verkar som om kampanjen har fungerat i viss kapacitet sedan 2018 och skadlig programvara har varit i kontinuerlig utveckling.
Över hälften av offren finns i Kanada, men det har också funnits offer runt om i världen, inklusive i USA, Europa, Australien och Nigeria.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Forskare tror att offer luras att ladda ner skadlig programvara via malvertising – skadliga onlineannonser – som lurar dem att ladda ner falska installationsprogram av populär programvara till sina system. Användarna letar sannolikt efter de legitima versionerna av programvaran, men hänvisas till de skadliga versionerna genom att annonsera.
En del av programvaran som användare luras att ladda ner inkluderar falska versioner av meddelandeappar som Viber och WeChat, såväl som falska installationsprogram för populära videospel som Battlefield.
Installationsprogrammet installerar inte den annonserade programvaran utan installerar istället tre former av skadlig programvara – en lösenordsstöldare, en bakdörr och ett skadligt webbläsartillägg, som möjliggör tangentloggning och skärmdumpar av vad den infekterade användaren tittar på.
Lösenordsstjälaren som distribueras i attackerna är känd som Redline, en relativt vanlig skadlig programvara som stjäl alla användarnamn och lösenord den hittar på det infekterade systemet. Magnat distribuerade tidigare en annan lösenordsstöldare, Azorult. Bytet till Redline kom sannolikt för att Azorult, liksom många andra former av skadlig programvara, slutade fungera korrekt efter lanseringen av Chrome 80 i februari 2020.
Medan lösenordstjälarna båda är skadlig programvara som är tillgänglig från hyllan, den tidigare odokumenterade bakdörrsinstallatören – som forskare har kallat MagnatBackdoor – verkar vara en mer skräddarsydd form av skadlig programvara som har distribuerats sedan 2019, även om det finns tillfällen då distributionen har upphört i månader.
MagnatBackdoor konfigurerar det infekterade Windows-systemet för att möjliggöra smygande fjärrskrivbordsprotokoll (RDP)-åtkomst, samt lägga till en ny användare och schemalägga systemet för att pinga en kommando- och kontrollserver som körs av angriparna med jämna mellanrum. Bakdörren tillåter angripare att i hemlighet få fjärråtkomst till PC:n vid behov.
Den tredje nyttolasten är en nedladdare för en skadlig Google Chrome-tillägg, som forskare har döpt till MagnatExtension. Tillägget levereras av angriparna och kommer inte från Chrome Extension Store.
SE: Hackare vänder sig till denna enkla teknik för att installera sin skadliga programvara på datorer
Det här tillägget innehåller olika sätt att stjäla data direkt från webbläsaren, inklusive möjligheten att ta skärmdumpar, stjäla cookies, stjäla information inmatad i formulär, samt en keylogger, som registrerar allt som användaren skriver i webbläsaren. All denna information skickas sedan tillbaka till angriparna.
Forskare har liknat förlängningens möjligheter med en banktrojan. De föreslår att det slutliga syftet med skadlig programvara är att skaffa användaruppgifter, antingen för försäljning på den mörka webben eller för ytterligare utnyttjande av angriparna. Cyberbrottslingarna bakom MagnatBackdoor och MagnatExtension har ägnat år åt att utveckla och uppdatera skadlig programvara och det kommer sannolikt att fortsätta.
“Dessa två familjer har varit föremål för ständig utveckling och förbättringar av sina författare – det här är förmodligen inte det sista vi hör om dem”, säger Tiago Pereira, säkerhetsforskare på Cisco Talos.
“Vi tror att dessa kampanjer använder malvertising som ett sätt att nå användare som är intresserade av sökord relaterade till programvara och presentera dem länkar för att ladda ner populär programvara. Den här typen av hot kan vara mycket effektiva och kräver flera lager av säkerhetskontroller är på plats, såsom slutpunktsskydd, nätverksfiltrering och säkerhetsmedvetande sessioner”, tillade han.
MER OM CYBERSÄKERHET
Ransomware: Nu utnyttjar angripare Windows PrintNightmare-sårbarheterMasslogger Trojan återuppfanns i jakten på att stjäla Outlook, Chrome meriterFöretag pratar inte om att vara offer för cyberattacker. Det måste ändrasHackare vänder sig till den här enkla tekniken för att installera sin skadliga programvara på datorerFå korrigering: Cisco varnar för dessa kritiska produktsårbarheter Security TV | Datahantering | CXO | Datacenter