Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Opisi virusa, 03.12.2021, 13:30 PM

Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Sajber kriminalci reklamiraju lažne verzije popularnog softvera pokušavajući da prevare korisnike da preuzmu malver, koji za napadače krade korisnička imena i lozinke, ali im i obezbeđuje daljinski backdoor pristup zaraženim Windows računarima.

Istraživači kažu da su žrtve prevarene da preuzmu zlonamerni softver zahvaljujući reklamama. Korisnici verovatno traže legitimne verzije softvera, ali ih reklame upućuju na zlonamerne verzije.

Neki od programa koje žrtve preuzimaju su lažne verzije aplikacija za slanje poruka kao što su Viber i WeChat, kao i lažni instalacioni programi za popularne video igre poput Battlefielda.

Program za instalaciju ne instalira reklamirani softver, već umesto toga instalira tri oblika malvera - za krađu lozinki, backdoor i ekstenziju za veb pregledač, koja omogućava napadačima da beleže ono što žrtva kuca na tastaturi, i skrinšotove onoga što korisnik gleda.

Napade su detaljno opisali istraživači Cisco Talosa koji su kampanju nazvali „Magnat“. Oni kažu da kampanja funkcioniše u određenom kapacitetu od 2018. godine i da je malver u stalnom razvoju.

Kradljivac lozinki koji se distribuira u napadima poznat je kao Redline. To je malver koji krade sva korisnička imena i lozinke koje pronađe na zaraženom sistemu. Magnat je ranije distribuirao drugačiji malver za krađu lozinki, Azorult. Prelazak na Redline je verovatno bio iznuđen zato što je Azorult, kao i mnogi malveri, prestao da funkcioniše nakon objavljivanja Chrome 80 u februaru 2020.

Što se tiče backoora, kojeg su istraživači nazvali MagnatBackdoor, on se distribuira od 2019. godine, sa povremenim višemesečnim pauzama. MagnatBackdoor konfiguriše zaraženi Windows sistem da omogući prikriveni RDP pristup, kao i za dodavanje novog korisnika i zakazivanje da sistem pinguje komandni i kontrolni server što je radnja koju pokreću napadači u određenim vremenskim intervalima. Backdoor omogućava napadačima da dobiju daljinski pristup računaru kada je to potrebno.

Treći payload je downloader za malicioznu ekstenziju za Google Chrome, koju su istraživači nazvali MagnatExtension. Nju isporučuju napadači i ona se ne može naći u Chrome Web prodavnici.

Ova ekstenzija na različite načine krade podatke direktno iz Chromea, uključujući mogućnost pravljenja snimaka ekrana, krađe kolačića, krađe podataka unetih u formulare, kao i keylogger, koji registruje sve što korisnik unese u pregledač. Sve ove informacije se zatim šalju nazad napadačima. Istraživači su uporedili ovu ekstenziju sa bankarskim trojancem.

Oni kažu da je krajnji cilj malvera da dođe do korisničkih akreditiva, bilo za prodaju na mračnom vebu ili za dalju eksploataciju od strane napadača. Sajber kriminalci koji stoje iza MagnatBackdoora i MagnatExtension potrošili su godine razvijajući i ažurirajući malver i to će se verovatno nastaviti, kažu iz Cisco Talosa.

Više od polovine žrtava je u Kanadi, ali ima žrtava i širom sveta, uključujući Sjedinjene Države, Evropu, Australiju i Nigeriju.





Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje