Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Opisi virusa, 03.12.2021, 13:30 PM

Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Sajber kriminalci reklamiraju lažne verzije popularnog softvera pokušavajući da prevare korisnike da preuzmu malver, koji za napadače krade korisnička imena i lozinke, ali im i obezbeđuje daljinski backdoor pristup zaraženim Windows računarima.

Istraživači kažu da su žrtve prevarene da preuzmu zlonamerni softver zahvaljujući reklamama. Korisnici verovatno traže legitimne verzije softvera, ali ih reklame upućuju na zlonamerne verzije.

Neki od programa koje žrtve preuzimaju su lažne verzije aplikacija za slanje poruka kao što su Viber i WeChat, kao i lažni instalacioni programi za popularne video igre poput Battlefielda.

Program za instalaciju ne instalira reklamirani softver, već umesto toga instalira tri oblika malvera - za krađu lozinki, backdoor i ekstenziju za veb pregledač, koja omogućava napadačima da beleže ono što žrtva kuca na tastaturi, i skrinšotove onoga što korisnik gleda.

Napade su detaljno opisali istraživači Cisco Talosa koji su kampanju nazvali „Magnat“. Oni kažu da kampanja funkcioniše u određenom kapacitetu od 2018. godine i da je malver u stalnom razvoju.

Kradljivac lozinki koji se distribuira u napadima poznat je kao Redline. To je malver koji krade sva korisnička imena i lozinke koje pronađe na zaraženom sistemu. Magnat je ranije distribuirao drugačiji malver za krađu lozinki, Azorult. Prelazak na Redline je verovatno bio iznuđen zato što je Azorult, kao i mnogi malveri, prestao da funkcioniše nakon objavljivanja Chrome 80 u februaru 2020.

Što se tiče backoora, kojeg su istraživači nazvali MagnatBackdoor, on se distribuira od 2019. godine, sa povremenim višemesečnim pauzama. MagnatBackdoor konfiguriše zaraženi Windows sistem da omogući prikriveni RDP pristup, kao i za dodavanje novog korisnika i zakazivanje da sistem pinguje komandni i kontrolni server što je radnja koju pokreću napadači u određenim vremenskim intervalima. Backdoor omogućava napadačima da dobiju daljinski pristup računaru kada je to potrebno.

Treći payload je downloader za malicioznu ekstenziju za Google Chrome, koju su istraživači nazvali MagnatExtension. Nju isporučuju napadači i ona se ne može naći u Chrome Web prodavnici.

Ova ekstenzija na različite načine krade podatke direktno iz Chromea, uključujući mogućnost pravljenja snimaka ekrana, krađe kolačića, krađe podataka unetih u formulare, kao i keylogger, koji registruje sve što korisnik unese u pregledač. Sve ove informacije se zatim šalju nazad napadačima. Istraživači su uporedili ovu ekstenziju sa bankarskim trojancem.

Oni kažu da je krajnji cilj malvera da dođe do korisničkih akreditiva, bilo za prodaju na mračnom vebu ili za dalju eksploataciju od strane napadača. Sajber kriminalci koji stoje iza MagnatBackdoora i MagnatExtension potrošili su godine razvijajući i ažurirajući malver i to će se verovatno nastaviti, kažu iz Cisco Talosa.

Više od polovine žrtava je u Kanadi, ali ima žrtava i širom sveta, uključujući Sjedinjene Države, Evropu, Australiju i Nigeriju.





Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Istraživači iz firme Kandji upozorili su na TodoSwift, zlonamernu dropper aplikaciju koja se maskira kao program za preuzimanje PDF-ova. Njihov izve... Dalje