据安全事务部报道,思科Talos安全专家近期发现了一系列恶意广告活动,攻击者利用热门应用和游戏的虚假安装程序作为诱饵,引导用户下载恶意Chrome扩展程序程序和新的恶意软件后门。据思科Talos安全专家称,攻击者自2018年底以来一直活跃,随后在2019年底和2020年初出现间歇性活动。2021年4月,该威胁组织重新出现,并在加拿大、美国、澳大利亚、意大利、西班牙和挪威,传播恶意软件和扩展程序。当用户点击下载虚假安装程序时,他们会在受害者的系统上执行以下恶意软件:一个名为RedLineStealer的密码窃取程序;基于AutoIt的后门,通过SSH隧道转发RDP端口,通过隐蔽的Microsoft远程桌面会话建立远程访问,允许访问受感染的系统;一个名为MagnatExtension的恶意Chrome扩展程序,其中包含多种信息窃取功能,例如键盘记录和屏幕截图等。事实上,当受害人相信广告并开始下载广告软件时,他就已经上当了。根据CiscoTalos安全专家的说法,虚假广告会将用户链接到指定的网页,并提供虚假的软件安装程序下载。安装程序有多个文件名,包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe等,但是执行安装程序时,并没有安装广告软件,它在系统内执行恶意软件加载程序(如下图所示)。思科Talos安全专家继续追踪发现,这些虚假广告活动是由一个名为“magnat”的未知威胁组织发布的,他们还发现该组织正在更新一系列恶意软件。例如,MagnatExtension可以伪装成GoogleChrome扩展程序,magnat可以通过它窃取表单数据、收集cookie并在受害者的系统上执行任意JavaScript代码。再比如,攻击者还为C2实现了备份机制,可以通过在推特上直接搜索“#aquamamba2019”或“#ololo2019”等话题标签获得新的C2地址。从推文中获取域的算法简单高效,只需要将推文内容的每个单词的首字母拼接起来。一旦活动的C2可用,数据将以HTTPPOST请求文本中的json格式发送。思科Talos安全专家表示,攻击者正在使用密码窃取程序和类似银行木马的Chrome扩展来窃取信息,以谋取利益或进一步利用。虽然我们不知道攻击者部署RDP后门的动机,但很可能是攻击者想要出售RDP访问权限,或者使用RDP来克服基于IP地址或其他端点安装工具的在线服务的安全特性。参考来源:https://securityaffairs.co/wordpress/125297/cyber-crime/magnat-malvertising-campaigns.html
