小心!黑客正在利用虚假广告传播恶意软件

安全 黑客攻防
攻击者以热门应用和游戏的虚假安装程序为诱饵,引导用户下载恶意Chrome扩展程序和新的恶意软件后门。

据Security Affairs消息,思科Talos安全专家近日发现了一系列的恶意广告活动,攻击者以热门应用和游戏的虚假安装程序为诱饵,引导用户下载恶意Chrome扩展程序和新的恶意软件后门。

据思科Talos安全专家称,攻击者自2018年底开始活跃,此后在2019年底和2020年初进行间歇性活动。2021年4月,该威胁组织重出江湖,在加拿大、美国、澳大利亚、意大利、西班牙和挪威广泛开展恶意广告活动,大肆传播恶意软件和拓展程序。

[[439146]]

当用户点击下载虚假安装程序时,他们会在受害者的系统上执行以下恶意软件:

  • 一个名为 RedLine Stealer 的密码窃取程序;
  • 一个基于AutoIt的后门,可通过SSH隧道转发RDP端口,通过隐蔽的 Microsoft 远程桌面会话建立远程访问,允许访问受感染的系统;
  • 一个名为 MagnatExtension的恶意Chrome扩展程序,包含多项信息窃取功能,例如键盘记录和截屏等。

事实上,当受害者相信了广告并开始下载广告中的软件时,他就已经中招了。思科Talos安全专家表示,虚化的广告会将用户链接到指定网页,并提供虚假的软件安装程序下载。安装程序有多个文件名称,包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe等。但是,在执行安装程序时,安装的并不是广告中宣传的软件,而是在系统内执行恶意软件加载程序(如下图所示)。


思科Talos安全专家继续追踪后发现,这些虚假广告活动是由一个名为“magnat”的未知威胁组织发布的,同时他们还发现,该组织正在更新一系列的恶意软件。

例如,MagnatExtension可以伪装成 Google Chrome扩展程序,magnat可以通过该拓展程序窃取表单数据、收集cookie并在受害者的系统上执行任意JavaScript代码。

再比如,攻击者还为C2实施了一种备份机制,可以从Twitter上直接搜索“#aquamamba2019”或“#ololo2019”等主题标签中获取新的C2地址。从推文中获取域的算法既简单又有效,只需要将推文内容的每个单词的第一个字母连接起来。一旦有活动的C2可用,数据就会在 HTTP POST 请求的正文中以json格式发送。

思科Talos安全专家,攻击者通过密码窃取程序和类似于银行木马的 Chrome 扩展程序来窃取信息,其目的有可能是出售获取利润,也有可能是进行进一步利用。虽然我们暂时还不清楚攻击者部署 RDP 后门的动机,但最有可能的是,攻击者想要借此出售 RDP 访问权限,或利用 RDP 解决基于 IP 地址或其他端点安装工具的在线服务安全功能。

参考来源:https://securityaffairs.co/wordpress/125297/cyber-crime/magnat-malvertising-campaigns.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2014-09-23 17:14:39

2021-12-06 09:26:03

黑客恶意程序网络攻击

2020-05-18 10:29:39

黑客网络安全疫情

2015-01-20 11:40:43

2024-10-11 16:52:12

2023-11-10 16:14:29

2024-02-19 08:16:40

2022-05-23 13:36:31

恶意软件网络攻击

2011-05-26 13:07:17

2022-05-05 09:04:33

恶意软件黑客

2020-03-31 10:49:00

黑客Zoom恶意软件

2022-08-31 15:59:19

恶意软件网络钓鱼威胁分析师

2021-04-15 09:58:45

恶意广告TikTok网络犯罪

2023-06-08 12:15:50

2023-01-20 08:42:02

2012-04-21 19:02:25

黑客Instagram

2021-06-16 14:56:09

恶意软件微软网络攻击

2020-02-16 11:54:35

网络安全黑客软件

2023-11-15 11:51:32

点赞
收藏

51CTO技术栈公众号