网络犯罪分子不断改进技术并寻找新的方法来利用用户并获取他们的个人数据。过去,诱骗用户提供敏感信息的最常见方法是通过网络钓鱼攻击,伪装成可信来源并索取用户数据。但根据CiscoTalos威胁情报小组的一份新安全报告,一种新的恶意活动作为从毫无戒心的用户那里获取信息的有效方式而日益受到重视。这种方法被称为“恶意广告”,TalosIntelligence认为一个名为“Magnat”的特定活动使用欺骗性在线广告来欺骗正在搜索合法软件安装程序的用户。思科威胁情报团队认为,Magnat活动可能始于2018年底,针对加拿大、美国、澳大利亚和其他几个欧洲国家的用户。一旦用户被定向到欺诈性下载,他们就会运行一个虚假的安装程序,将三种不同的恶意软件部署到他们的系统中。当虚假安装程序开始安装多个恶意软件组件时,它并没有安装用户最初搜索的实际应用程序。第一个恶意软件是一个密码窃取程序,旨在收集用户凭据,通常是通过一个名为Redline的通用工具。另一种名为MagnatBackdoor的恶意软件可通过Microsoft远程桌面设置对用户设备的远程访问。这种访问与Redline(或类似工具)窃取的用户凭据相结合,可以提供对用户系统的不受限制的访问,尽管它具有安全性和防火墙。第三个恶意软件是名为MagnatExtension的Chrome浏览器扩展程序,用于键盘记录、敏感信息的屏幕截图等。2021年8月的一条推文提供了可疑恶意广告活动的屏幕截图和下载样本。Talos分析了推文中提到的样本,并确认至少有一个样本包含MagnatBackdoor、MagnatExtension和Redline恶意软件组件。Talos相信Magnat的工具多年来一直在成长和改进,并且不会很快出现放缓的迹象。安装包的名称不断变化,经常引用流行应用程序的名称来增加可信度并诱骗用户部署该包。过去的包名示例包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe和battlefulsetup_76522.exe。
