Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Opisi virusa, 03.12.2021, 13:30 PM

Sajber kriminalci reklamiraju lažne verzije popularnog softvera pokušavajući da prevare korisnike da preuzmu malver, koji za napadače krade korisnička imena i lozinke, ali im i obezbeđuje daljinski backdoor pristup zaraženim Windows računarima.

Istraživači kažu da su žrtve prevarene da preuzmu zlonamerni softver zahvaljujući reklamama. Korisnici verovatno traže legitimne verzije softvera, ali ih reklame upućuju na zlonamerne verzije.

Neki od programa koje žrtve preuzimaju su lažne verzije aplikacija za slanje poruka kao što su Viber i WeChat, kao i lažni instalacioni programi za popularne video igre poput Battlefielda.

Program za instalaciju ne instalira reklamirani softver, već umesto toga instalira tri oblika malvera - za krađu lozinki, backdoor i ekstenziju za veb pregledač, koja omogućava napadačima da beleže ono što žrtva kuca na tastaturi, i skrinšotove onoga što korisnik gleda.

Napade su detaljno opisali istraživači Cisco Talosa koji su kampanju nazvali „Magnat“. Oni kažu da kampanja funkcioniše u određenom kapacitetu od 2018. godine i da je malver u stalnom razvoju.

Kradljivac lozinki koji se distribuira u napadima poznat je kao Redline. To je malver koji krade sva korisnička imena i lozinke koje pronađe na zaraženom sistemu. Magnat je ranije distribuirao drugačiji malver za krađu lozinki, Azorult. Prelazak na Redline je verovatno bio iznuđen zato što je Azorult, kao i mnogi malveri, prestao da funkcioniše nakon objavljivanja Chrome 80 u februaru 2020.

Što se tiče backoora, kojeg su istraživači nazvali MagnatBackdoor, on se distribuira od 2019. godine, sa povremenim višemesečnim pauzama. MagnatBackdoor konfiguriše zaraženi Windows sistem da omogući prikriveni RDP pristup, kao i za dodavanje novog korisnika i zakazivanje da sistem pinguje komandni i kontrolni server što je radnja koju pokreću napadači u određenim vremenskim intervalima. Backdoor omogućava napadačima da dobiju daljinski pristup računaru kada je to potrebno.

Treći payload je downloader za malicioznu ekstenziju za Google Chrome, koju su istraživači nazvali MagnatExtension. Nju isporučuju napadači i ona se ne može naći u Chrome Web prodavnici.

Ova ekstenzija na različite načine krade podatke direktno iz Chromea, uključujući mogućnost pravljenja snimaka ekrana, krađe kolačića, krađe podataka unetih u formulare, kao i keylogger, koji registruje sve što korisnik unese u pregledač. Sve ove informacije se zatim šalju nazad napadačima. Istraživači su uporedili ovu ekstenziju sa bankarskim trojancem.

Oni kažu da je krajnji cilj malvera da dođe do korisničkih akreditiva, bilo za prodaju na mračnom vebu ili za dalju eksploataciju od strane napadača. Sajber kriminalci koji stoje iza MagnatBackdoora i MagnatExtension potrošili su godine razvijajući i ažurirajući malver i to će se verovatno nastaviti, kažu iz Cisco Talosa.

Više od polovine žrtava je u Kanadi, ali ima žrtava i širom sveta, uključujući Sjedinjene Države, Evropu, Australiju i Nigeriju.