据Security Affairs消息,思科Talos安全专家近日发现了一系列的恶意广告活动,攻击者以热门应用和游戏的虚假安装程序为诱饵,引导用户下载恶意Chrome扩展程序和新的恶意软件后门。
据思科Talos安全专家称,攻击者自2018年底开始活跃,此后在2019年底和2020年初进行间歇性活动。2021年4月,该威胁组织重出江湖,在加拿大、美国、澳大利亚、意大利、西班牙和挪威广泛开展恶意广告活动,大肆传播恶意软件和拓展程序。
当用户点击下载虚假安装程序时,他们会在受害者的系统上执行以下恶意软件:
- 一个名为 RedLine Stealer 的密码窃取程序;
- 一个基于AutoIt的后门,可通过SSH隧道转发RDP端口,通过隐蔽的 Microsoft 远程桌面会话建立远程访问,允许访问受感染的系统;
- 一个名为 MagnatExtension的恶意Chrome扩展程序,包含多项信息窃取功能,例如键盘记录和截屏等。
事实上,当受害者相信了广告并开始下载广告中的软件时,他就已经中招了。思科Talos安全专家表示,虚化的广告会将用户链接到指定网页,并提供虚假的软件安装程序下载。安装程序有多个文件名称,包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe等。但是,在执行安装程序时,安装的并不是广告中宣传的软件,而是在系统内执行恶意软件加载程序(如下图所示)。
思科Talos安全专家继续追踪后发现,这些虚假广告活动是由一个名为“magnat”的未知威胁组织发布的,同时他们还发现,该组织正在更新一系列的恶意软件。
例如,MagnatExtension可以伪装成 Google Chrome扩展程序,magnat可以通过该拓展程序窃取表单数据、收集cookie并在受害者的系统上执行任意JavaScript代码。
再比如,攻击者还为C2实施了一种备份机制,可以从Twitter上直接搜索“#aquamamba2019”或“#ololo2019”等主题标签中获取新的C2地址。从推文中获取域的算法既简单又有效,只需要将推文内容的每个单词的第一个字母连接起来。一旦有活动的C2可用,数据就会在 HTTP POST 请求的正文中以json格式发送。
思科Talos安全专家,攻击者通过密码窃取程序和类似于银行木马的 Chrome 扩展程序来窃取信息,其目的有可能是出售获取利润,也有可能是进行进一步利用。虽然我们暂时还不清楚攻击者部署 RDP 后门的动机,但最有可能的是,攻击者想要借此出售 RDP 访问权限,或利用 RDP 解决基于 IP 地址或其他端点安装工具的在线服务安全功能。
参考来源:https://securityaffairs.co/wordpress/125297/cyber-crime/magnat-malvertising-campaigns.html