Los especialistas en ciberseguridad advierten sobre las oleadas de distribución maliciosa de Magnat dirigidas a usuarios potenciales de algunos de los programas más populares. Los actores de amenazas utilizan métodos de publicidad maliciosa para distribuir con éxito su instalador de software malicioso.. El trabajo se presenta especialmente complicado porque predispone a sus víctimas a un alto grado de confianza y sentimiento de legitimidad.. En la publicidad maliciosa, los actores de amenazas utilizan palabras clave relacionadas con el software buscado.. Y luego presentan a los usuarios desconocidos enlaces para descargar el software deseado.. Especialistas señalan que ante este tipo de amenazas, sesiones de concientización sobre seguridad, Se debe implementar protección de punto final y filtrado de red para garantizar la seguridad del sistema..
Las campañas maliciosas llevan casi tres años en marcha.
Las campañas maliciosas llevan casi tres años en marcha.. La actividad de malware comenzó en 2018 con numerosas direcciones C2 que los actores de amenazas utilizaron en cada mes de actividad. Sin embargo, uno de los dominios está listo[.]Los actores de amenazas de la UCI utilizaron como MagnatExtension C2 solo en enero 2019. Todavía lo usan en las configuraciones obtenidas de los servidores C2 como el C2 actualizado.. En agosto de este año, un investigador de seguridad mencionó la campaña de publicidad maliciosa en su página de Twitter.. Publicaron capturas de pantalla de los anuncios y compartieron una de las muestras descargadas..
#RedLineStealer entregado a través de instaladores falsos de WeChat, procedente de @GoogleAds .
.cremallera -> .Yo asi -> .exehttps://t.co/J5npamHM1P
Crea una nueva cuenta de usuario, reenvía el puerto RDP, gotas RDPWrap… Maldición.
cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SeguridadAura) Agosto 9, 2021
Los actores de amenazas se dirigieron principalmente a Canadá (50% del total de contagios), Estados Unidos y Australia. También centraron sus esfuerzos en Noruega, España e Italia. Los especialistas en ciberseguridad añaden que los autores del malware mejoran periódicamente su trabajo, actividad que muestra claramente que habrá otras inundaciones de olas maliciosas. El malware solo los especialistas disciernen uno es el ladrón de contraseñas y el otro una extensión de Chrome que funciona como un troyano bancario. El uso del tercer elemento de la puerta trasera RDP de malware distribuido aún no está claro para los especialistas. Los dos primeros pueden usarse para obtener credenciales de usuario y venderlas o utilizarlas para sus propios fines futuros.. mientras que el tercero, PDR, Lo más probable es que los actores de amenazas lo utilicen para más explotación en sistemas o vender como acceso RDP.
En un ataque, un usuario buscaría el software deseado cuando encontrara un anuncio con un enlace.
En un ataque, un usuario buscaría el software deseado cuando encontrara un anuncio con un enlace.. Los redirige a una página web donde pueden descargar el software buscado.. Los atacantes nombraron las descargas con nombres diferentes. Podría ser nox_setup_55606.exe, campo de batallasetup_76522.exe, wechat-35355.exe, build_9.716-6032.exe, setup_164335.exe y viber-25164.exe. Durante la ejecución, no instalará el software real sino el cargador malicioso en el sistema.. El instalador, a su vez, desofusca y comienza la ejecución de tres cargas útiles maliciosas.: Ladrón de contraseñas ( Línea roja o Azorult), Instalador de extensiones de Chrome y puerta trasera RDP.
Los especialistas identifican el instalador/cargador como un instalador de nullsoft que decodifica y elimina un intérprete AutoIt legítimo o un archivo SFX-7-Zip.. Aquí también vienen tres scripts de AutoIt ofuscados que decodifican las cargas útiles finales en la memoria y las inyectan en la memoria de otro proceso.. Tres piezas específicas de malware conforman las cargas útiles finales :