Οι χάκερ χρησιμοποιούν διαδικτυακές διαφημίσεις για ψεύτικες εκδόσεις δημοφιλούς software για να εξαπατήσουν τους χρήστες να κατεβάσουν τρεις μορφές malware – συμπεριλαμβανομένης μιας κακόβουλης επέκτασης προγράμματος περιήγησης με τις ίδιες δυνατότητες με ένα trojan malware – που παρέχουν στους εισβολείς ονόματα χρήστη και κωδικούς πρόσβασης, καθώς και backdoor remote access σε μολυσμένα Windows PCs.
Οι επιθέσεις, οι οποίες διανέμουν δύο μορφές φαινομενικά μη τεκμηριωμένων προσαρμοσμένων ανεπτυγμένων malware, αναφέρθηκαν λεπτομερώς από ερευνητές κυβερνοασφάλειας της Cisco Talos, οι οποίοι ονόμασαν την καμπάνια ως “magnat”. Φαίνεται ότι η καμπάνια λειτουργεί από το 2018 και το κακόβουλο λογισμικό βρίσκεται σε συνεχή ανάπτυξη.
Πάνω από τα μισά από τα θύματα βρίσκονται στον Καναδά, αλλά υπήρξαν και θύματα σε όλο τον κόσμο, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, της Ευρώπης, της Αυστραλίας και της Νιγηρίας.
Οι ερευνητές πιστεύουν ότι τα θύματα εξαπατούνται για να κατεβάσουν το malware μέσω malvertising – κακόβουλων διαδικτυακών διαφημίσεων – που τα ξεγελούν ώστε να κατεβάσουν ψεύτικα προγράμματα εγκατάστασης δημοφιλούς software στα συστήματά τους. Οι χρήστες είναι πιθανό να αναζητούν τις νόμιμες εκδόσεις του software, αλλά κατευθύνονται στις κακόβουλες εκδόσεις μέσω διαφήμισης.
- Τι περιλαμβάνει αυτό το software που εξαπατά τους χρήστες; Ψεύτικες εκδόσεις εφαρμογών ανταλλαγής μηνυμάτων όπως το Viber και το WeChat, καθώς και ψεύτικα προγράμματα εγκατάστασης για δημοφιλή βιντεοπαιχνίδια όπως το Battlefield.
Ο installer δεν εγκαθιστά το διαφημιζόμενο software, αλλά αντ’ αυτού εγκαθιστά τρεις μορφές malware – ένα πρόγραμμα password stealer, ένα backdoor και ένα κακόβουλο browser extension, που επιτρέπει το keylogging και τη λήψη screenshots του τι βλέπει ο μολυσμένος χρήστης.
Ο password stealer που διανέμεται στις επιθέσεις είναι γνωστός ως Redline, ένα σχετικά κοινό malware που κλέβει όλα τα usernames και τα passwords που βρίσκει στο μολυσμένο σύστημα. Η καμπάνια Magnat στο παρελθόν διένειμε έναν διαφορετικό password stealer, τον Azorult. Η αλλαγή στον Redline πιθανότατα έγινε επειδή ο Azorult, όπως και πολλές άλλες μορφές κακόβουλου λογισμικού, σταμάτησε να λειτουργεί σωστά μετά την κυκλοφορία του Chrome 80 τον Φεβρουάριο του 2020.
Ενώ οι password stealers είναι και οι δύο off-the-shelf malware, το μη τεκμηριωμένο πρόγραμμα εγκατάστασης backdoor – το οποίο οι ερευνητές ονόμασαν MagnatBackdoor – φαίνεται να είναι μια πιο προσαρμοσμένη μορφή malware που διανέμεται από το 2019, αν και υπάρχουν φορές που η διανομή έχει σταματήσει για μήνες.
Το MagnatBackdoor διαμορφώνει το μολυσμένο σύστημα Windows ώστε να επιτρέπει την πρόσβαση στο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP). Προσθέτει έναν νέο χρήστη και προγραμματίζει το σύστημα να κάνει ping σε έναν command and control server που εκτελείται από τους εισβολείς σε τακτά χρονικά διαστήματα. Το backdoor επιτρέπει στους εισβολείς να αποκτήσουν κρυφά απομακρυσμένη πρόσβαση στον υπολογιστή όταν απαιτείται.
Το τρίτο payload είναι ένα πρόγραμμα λήψης για μια κακόβουλη επέκταση του Google Chrome, την οποία οι ερευνητές ονόμασαν MagnatExtension. Η επέκταση παρέχεται από τους εισβολείς και δεν προέρχεται από το Chrome Extension Store.
- Αυτή η επέκταση περιέχει διάφορα μέσα κλοπής δεδομένων απευθείας από το πρόγραμμα περιήγησης ιστού, συμπεριλαμβανομένης της δυνατότητας λήψης payload, της κλοπής cookie, της κλοπής πληροφοριών που έχουν εισαχθεί σε φόρμες, καθώς και ένα keylogger, το οποίο καταγράφει οτιδήποτε πληκτρολογεί ο χρήστης στον browser. Όλες αυτές οι πληροφορίες στη συνέχεια αποστέλλονται στους επιτιθέμενους.
Οι ερευνητές έχουν παρομοιάσει τις δυνατότητες της επέκτασης με ένα banking trojan. Αναφέρουν ότι ο απώτερος στόχος του malware είναι να αποκτήσει user credentials, είτε προς πώληση στο dark web είτε για περαιτέρω εκμετάλλευση από τους εισβολείς. Οι εγκληματίες του κυβερνοχώρου πίσω από το MagnatBackdoor και το MagnatExtension έχουν περάσει χρόνια αναπτύσσοντας και ενημερώνοντας το malware και αυτό είναι πιθανό να συνεχιστεί.