Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Opisi virusa, 03.12.2021, 13:30 PM

Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Sajber kriminalci reklamiraju lažne verzije popularnog softvera pokušavajući da prevare korisnike da preuzmu malver, koji za napadače krade korisnička imena i lozinke, ali im i obezbeđuje daljinski backdoor pristup zaraženim Windows računarima.

Istraživači kažu da su žrtve prevarene da preuzmu zlonamerni softver zahvaljujući reklamama. Korisnici verovatno traže legitimne verzije softvera, ali ih reklame upućuju na zlonamerne verzije.

Neki od programa koje žrtve preuzimaju su lažne verzije aplikacija za slanje poruka kao što su Viber i WeChat, kao i lažni instalacioni programi za popularne video igre poput Battlefielda.

Program za instalaciju ne instalira reklamirani softver, već umesto toga instalira tri oblika malvera - za krađu lozinki, backdoor i ekstenziju za veb pregledač, koja omogućava napadačima da beleže ono što žrtva kuca na tastaturi, i skrinšotove onoga što korisnik gleda.

Napade su detaljno opisali istraživači Cisco Talosa koji su kampanju nazvali „Magnat“. Oni kažu da kampanja funkcioniše u određenom kapacitetu od 2018. godine i da je malver u stalnom razvoju.

Kradljivac lozinki koji se distribuira u napadima poznat je kao Redline. To je malver koji krade sva korisnička imena i lozinke koje pronađe na zaraženom sistemu. Magnat je ranije distribuirao drugačiji malver za krađu lozinki, Azorult. Prelazak na Redline je verovatno bio iznuđen zato što je Azorult, kao i mnogi malveri, prestao da funkcioniše nakon objavljivanja Chrome 80 u februaru 2020.

Što se tiče backoora, kojeg su istraživači nazvali MagnatBackdoor, on se distribuira od 2019. godine, sa povremenim višemesečnim pauzama. MagnatBackdoor konfiguriše zaraženi Windows sistem da omogući prikriveni RDP pristup, kao i za dodavanje novog korisnika i zakazivanje da sistem pinguje komandni i kontrolni server što je radnja koju pokreću napadači u određenim vremenskim intervalima. Backdoor omogućava napadačima da dobiju daljinski pristup računaru kada je to potrebno.

Treći payload je downloader za malicioznu ekstenziju za Google Chrome, koju su istraživači nazvali MagnatExtension. Nju isporučuju napadači i ona se ne može naći u Chrome Web prodavnici.

Ova ekstenzija na različite načine krade podatke direktno iz Chromea, uključujući mogućnost pravljenja snimaka ekrana, krađe kolačića, krađe podataka unetih u formulare, kao i keylogger, koji registruje sve što korisnik unese u pregledač. Sve ove informacije se zatim šalju nazad napadačima. Istraživači su uporedili ovu ekstenziju sa bankarskim trojancem.

Oni kažu da je krajnji cilj malvera da dođe do korisničkih akreditiva, bilo za prodaju na mračnom vebu ili za dalju eksploataciju od strane napadača. Sajber kriminalci koji stoje iza MagnatBackdoora i MagnatExtension potrošili su godine razvijajući i ažurirajući malver i to će se verovatno nastaviti, kažu iz Cisco Talosa.

Više od polovine žrtava je u Kanadi, ali ima žrtava i širom sveta, uključujući Sjedinjene Države, Evropu, Australiju i Nigeriju.





Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

ChromeLoader je “prodoran i uporan otmičar pregledača” koji može da izmeni podešavanja veb pregledača žrtava da bi prikazao rezultat... Dalje

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Istraživači iz firme za sajber bezbednost Zscaler upozorili su na fišing sajtove koji nude lažne instalacione programe za Windows 11 a zapravo inf... Dalje

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Istraživači iz CloudSEK-a upozorili su na lažnu Windows 11 nadogradnju koja krije malver koji krade podatke iz veb pregledača i novčanika kriptov... Dalje

Gejmeri su meta novog opasnog malvera

Gejmeri su meta novog opasnog malvera

Novi malver dizajniran za krađu podataka dodat je portfoliju grupe Haskers Gang. Istraživači iz Cisco Talosa kažu da se malver, nazvan ZingoSteale... Dalje

Novi malver krade Facebook, Instagram i Twitter naloge

Novi malver krade Facebook, Instagram i Twitter naloge

Nalozi na društvenim mrežama, posebno oni verifikovani, su privlačna meta za hakere jer ih mogu koristiti za razne zlonamerne aktivnosti, uključuj... Dalje