Opasni malver koji krade lozinke širi se preko reklama za popularni softver
Opisi virusa, 03.12.2021, 13:30 PM

Sajber kriminalci reklamiraju lažne verzije popularnog softvera pokušavajući da prevare korisnike da preuzmu malver, koji za napadače krade korisnička imena i lozinke, ali im i obezbeđuje daljinski backdoor pristup zaraženim Windows računarima.
Istraživači kažu da su žrtve prevarene da preuzmu zlonamerni softver zahvaljujući reklamama. Korisnici verovatno traže legitimne verzije softvera, ali ih reklame upućuju na zlonamerne verzije.
Neki od programa koje žrtve preuzimaju su lažne verzije aplikacija za slanje poruka kao što su Viber i WeChat, kao i lažni instalacioni programi za popularne video igre poput Battlefielda.
Program za instalaciju ne instalira reklamirani softver, već umesto toga instalira tri oblika malvera - za krađu lozinki, backdoor i ekstenziju za veb pregledač, koja omogućava napadačima da beleže ono što žrtva kuca na tastaturi, i skrinšotove onoga što korisnik gleda.
Napade su detaljno opisali istraživači Cisco Talosa koji su kampanju nazvali „Magnat“. Oni kažu da kampanja funkcioniše u određenom kapacitetu od 2018. godine i da je malver u stalnom razvoju.
Kradljivac lozinki koji se distribuira u napadima poznat je kao Redline. To je malver koji krade sva korisnička imena i lozinke koje pronađe na zaraženom sistemu. Magnat je ranije distribuirao drugačiji malver za krađu lozinki, Azorult. Prelazak na Redline je verovatno bio iznuđen zato što je Azorult, kao i mnogi malveri, prestao da funkcioniše nakon objavljivanja Chrome 80 u februaru 2020.
Što se tiče backoora, kojeg su istraživači nazvali MagnatBackdoor, on se distribuira od 2019. godine, sa povremenim višemesečnim pauzama. MagnatBackdoor konfiguriše zaraženi Windows sistem da omogući prikriveni RDP pristup, kao i za dodavanje novog korisnika i zakazivanje da sistem pinguje komandni i kontrolni server što je radnja koju pokreću napadači u određenim vremenskim intervalima. Backdoor omogućava napadačima da dobiju daljinski pristup računaru kada je to potrebno.
Treći payload je downloader za malicioznu ekstenziju za Google Chrome, koju su istraživači nazvali MagnatExtension. Nju isporučuju napadači i ona se ne može naći u Chrome Web prodavnici.
Ova ekstenzija na različite načine krade podatke direktno iz Chromea, uključujući mogućnost pravljenja snimaka ekrana, krađe kolačića, krađe podataka unetih u formulare, kao i keylogger, koji registruje sve što korisnik unese u pregledač. Sve ove informacije se zatim šalju nazad napadačima. Istraživači su uporedili ovu ekstenziju sa bankarskim trojancem.
Oni kažu da je krajnji cilj malvera da dođe do korisničkih akreditiva, bilo za prodaju na mračnom vebu ili za dalju eksploataciju od strane napadača. Sajber kriminalci koji stoje iza MagnatBackdoora i MagnatExtension potrošili su godine razvijajući i ažurirajući malver i to će se verovatno nastaviti, kažu iz Cisco Talosa.
Više od polovine žrtava je u Kanadi, ali ima žrtava i širom sveta, uključujući Sjedinjene Države, Evropu, Australiju i Nigeriju.

Izdvojeno
Opasni malver se širi preko Google oglasa koji reklamiraju popularni softver

Kompanija Trend Micro upozorila je na backdoor malver RomCom koji se širi sa veb sajtova na kojima se nudi poznati ili čak izmišljeni softver. Napa... Dalje
Novi malver Bandit Stealer krade podatke iz internet pretraživača i kripto novčanika
.jpg)
Istraživači iz kompanije Trend Micro otkrili su novi malver za krađu informacija koji cilja pretraživače i kripto novčanike. Iako je malver, naz... Dalje
Stručnjaci upozoravaju na novi malver koji može fizički da ošteti elektroenergetsku mrežu

U decembru 2021., korisnik sa ruskom IP adresom je postavio misteriozni malver na Googleov servis za skeniranje malvera VirusTotal. Prema analizi koju... Dalje
Novi malver, Atomic macOS Stealer, krade lozinke i kriptovalutu sa zaraženih računara

Poslednjih godina, macOS je sve popularniji među korisnicima, uglavnom zbog korisničkog interfejsa, koji je često hvaljen zbog svoje jednostavnosti... Dalje
Novi ransomware Cactus ima jedinstvenu taktiku za izbegavanje antivirusa

Istraživači iz kompanije za korporativne istrage i konsalting rizika Kroll otkrili su novu, sofisticiranu kampanju ransomwarea pod nazivom Cactus. R... Dalje
Pratite nas
Nagrade