Кіберзлочинці використовують онлайн-рекламу підроблених версій популярного програмного забезпечення, щоб обманом змусити користувачів завантажити три форми зловмисного програмного забезпечення – включаючи зловмисне розширення для браузера з тими ж можливостями, що й троянське програмне забезпечення – які надають кіберзлочинцям імена користувачів та паролі, а також віддалений доступ через бекдор до заражених ПК з Windows, – повідомяє ZDNet.
Атаки, які поширюють дві форми, незадокументованих спеціально розроблених шкідливих програм, були детально описані дослідниками кібербезпеки з Cisco Talos, які назвали кампанію «magnat». Схоже, що кампанія діє певною мірою з 2018 року, а зловмисне програмне забезпечення постійно розвивається.
Більше половини жертв кампанії знаходиться в Канаді, але є також жертви в усьому світі, включаючи Сполучені Штати, Європу, Австралію та Нігерію.
Дослідники вважають, що жертв обманом змушують встановити зловмисне програмне забезпечення за допомогою шкідливої онлайн-реклами, яка пропонує завантажити підроблені версії популярного програмного забезпечення. Користувачі, швидше за все, будуть шукати законні версії програмного забезпечення, але реклама спрямовує їх на шкідливі копії.
Деякі зі зловмисних програм, які користувачі завантажують, включають підроблені версії програм обміну повідомленнями, таких як Viber і WeChat, а також підроблені інсталятори для популярних відеоігор, таких як Battlefield.
Завантажений інсталятор не встановлює рекламовані програми, а замість цього встановлює три форми зловмисного програмного забезпечення – засіб для крадіжки паролів, бекдор і шкідливе розширення для браузера, що дозволяє вести журнал і робити скріншоти того, що дивиться заражений користувач.
Засіб крадіжки паролів, який поширюється під час атак, відомий як Redline, відносно поширене шкідливе програмне забезпечення, яке краде всі імена користувачів і паролі, знайдені в зараженій системі. Раніше Magnat поширював інший засіб крадіжки паролів Azorult. Перехід на Redline, ймовірно, відбувся тому, що Azorult, як і багато інших видів шкідливих програм, перестав працювати належним чином після випуску Chrome 80 у лютому 2020 року.
У той час як крадіжки паролів є стандартними шкідливими програмами, раніше незадокументований інсталятор бекдора, який дослідники назвали MagnatBackdoor, є більш спеціальною формою зловмисного програмного забезпечення, яке поширюється з 2019 року, хоча іноді розповсюдження припиняється протягом кількох місяців.
MagnatBackdoor налаштовує інфіковану систему Windows, щоб дозволити прихований доступ за протоколом віддаленого робочого столу (RDP), а також додавати нового користувача та планувати систему для перевірки командного та контрольного сервера, який запускають зловмисники через регулярні проміжки часу. Бекдор дозволяє зловмисникам таємно отримати віддалений доступ до ПК, коли це необхідно.
Третє шкідливе завантаження — це зловмисне розширення Google Chrome, яке дослідники назвали MagnatExtension. Розширення постачається зловмисниками і не надходить із магазину розширень Chrome.
Це розширення містить різні засоби крадіжки даних безпосередньо з веб-браузера, включаючи можливість робити знімки екрана, красти файли cookie, красти інформацію, введену у форми, а також кейлоггер, який реєструє все, що користувач вводить у браузері. Уся ця інформація потім надсилається зловмисникам.
Дослідники порівняли можливості розширення з банківським трояном. Вони припускають, що кінцевою метою зловмисного програмного забезпечення є отримання облікових даних користувачів або для продажу в даркнеті, або для подальшої експлуатації зловмисниками. Кіберзлочинці, що стояли за MagnatBackdoor і MagnatExtension, витратили роки на розробку та оновлення зловмисного програмного забезпечення, і це, ймовірно, триватиме й надалі.
«Ці дві форми зловмисного програмного забезпечення постійно розвивалися та вдосконалювались їхніми авторами – це, ймовірно, не останнє, що ми чуємо про них», – сказав Тьяго Перейра, дослідник безпеки в Cisco Talos.
«Ми вважаємо, що ці кампанії використовують онлайн-рекламу як засіб охоплення користувачів, які шукають за ключовими словами популярне програмне забезпечення, і представляти їм підробне посилання на завантаження. Цей тип загроз може бути дуже ефективним і вимагає наявності кількох рівнів контролю безпеки, таких як захист кінцевих точок, фільтрація мережі та сеанси поінформованості про безпеку”, – додав він.
