Especialistas em segurança cibernética alertam sobre as ondas de distribuição maliciosa do Magnat direcionadas aos usuários potenciais de alguns softwares mais populares. Os atores de ameaças usam métodos de malvertising para distribuir com sucesso seu instalador de software malicioso. O trabalho apresenta-se especialmente complicado porque predispõe as suas vítimas a um elevado grau de confiança e sentimento de legitimidade. Na malvertising, os agentes de ameaças usam palavras-chave relacionadas ao software pesquisado. E então eles apresentam aos usuários desconhecidos links para baixar o software desejado. Especialistas apontam que no caso de tais tipos de ameaças, sessões de conscientização de segurança, proteção de endpoint e filtragem de rede devem estar em vigor para garantir a segurança do sistema.
As campanhas maliciosas já duram quase três anos
As campanhas maliciosas já duram quase três anos. A atividade de malware começou em 2018 com vários endereços C2 que os agentes de ameaças usaram em cada mês de atividade. No entanto, um dos domínios está pronto[.]atores de ameaças icu usados como MagnatExtension C2 apenas em janeiro 2019. Eles ainda o usam nas configurações obtidas dos servidores C2 como o C2 atualizado. Em agosto deste ano, um pesquisador de segurança mencionou a campanha de malvertising em sua página do Twitter. Eles postaram capturas de tela dos anúncios e compartilharam uma das amostras baixadas.
#RedLineStealer sendo entregue por meio de instaladores falsos do WeChat, vindo de @GoogleAds .
.fecho eclair -> .iso -> .exehttps://t.co/J5npamHM1P
Cria uma nova conta de usuário, encaminha porta RDP, descarta RDPWrap… Droga.
CC @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SecurityAura) Agosto 9, 2021
Os atores da ameaça visavam principalmente o Canadá (50% do total de infecções), EUA e Austrália. Também concentraram os seus esforços na Noruega, Espanha e Itália. Especialistas em segurança cibernética acrescentam que os autores do malware melhoram regularmente seus trabalhos, atividade que mostra claramente que haverá outras inundações de ondas maliciosas. O malware sozinho especialistas discernem um deles é o ladrão de senhas e o outro uma extensão do Chrome que funciona como um trojan bancário. O uso do terceiro elemento do backdoor RDP de malware distribuído permanece obscuro para os especialistas. Os dois primeiros podem ser usados para obter credenciais de usuário e vendê-las ou usá-las para seus próprios fins futuros.. Enquanto o terceiro, PDR, os atores da ameaça provavelmente irão usá-lo para mais exploração em sistemas ou vender como acesso RDP.
Em um ataque, um usuário procuraria o software desejado ao encontrar um anúncio com um link
Em um ataque, um usuário procuraria o software desejado ao encontrar um anúncio com um link. Ele os redireciona para uma página da web onde eles podem baixar o software pesquisado. Os invasores nomearam os downloads com nomes diferentes. Pode ser nox_setup_55606.exe, campo de batalhasetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe e viber-25164.exe. Na execução, ele não instalará o software real, mas sim o carregador malicioso no sistema. O instalador, por sua vez, desofusca e inicia a execução de três cargas maliciosas: Ladrão de senhas ( Redline ou Azorult), Instalador de extensão do Chrome e backdoor RDP.
Os especialistas distinguem o instalador/carregador como um instalador nullsoft que decodifica e elimina um interpretador AutoIt legítimo ou um arquivo SFX-7-Zip. Aí vêm também três scripts AutoIt ofuscados que decodificam as cargas finais na memória e as injetam na memória para outro processo. Três peças específicas de malware constituem as cargas finais :
