據(jù)Security Affairs消息，思科Talos安全專家近日發(fā)現(xiàn)了一系列的惡意廣告活動(dòng)，攻擊者以熱門應(yīng)用和游戲的虛假安裝程序?yàn)檎T餌，引導(dǎo)用戶下載惡意Chrome擴(kuò)展程序和新的惡意軟件后門。

據(jù)思科Talos安全專家稱，攻擊者自2018年底開始活躍，此后在2019年底和2020年初進(jìn)行間歇性活動(dòng)。2021年4月，該威脅組織重出江湖，在加拿大、美國、澳大利亞、意大利、西班牙和挪威廣泛開展惡意廣告活動(dòng)，大肆傳播惡意軟件和拓展程序。

當(dāng)用戶點(diǎn)擊下載虛假安裝程序時(shí)，他們會(huì)在受害者的系統(tǒng)上執(zhí)行以下惡意軟件：

• 一個(gè)名為 RedLine Stealer 的密碼竊取程序;
• 一個(gè)基于AutoIt的后門，可通過SSH隧道轉(zhuǎn)發(fā)RDP端口，通過隱蔽的 Microsoft 遠(yuǎn)程桌面會(huì)話建立遠(yuǎn)程訪問，允許訪問受感染的系統(tǒng);
• 一個(gè)名為 MagnatExtension的惡意Chrome擴(kuò)展程序，包含多項(xiàng)信息竊取功能，例如鍵盤記錄和截屏等。

事實(shí)上，當(dāng)受害者相信了廣告并開始下載廣告中的軟件時(shí)，他就已經(jīng)中招了。思科Talos安全專家表示，虛化的廣告會(huì)將用戶鏈接到指定網(wǎng)頁，并提供虛假的軟件安裝程序下載。安裝程序有多個(gè)文件名稱，包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe等。但是，在執(zhí)行安裝程序時(shí)，安裝的并不是廣告中宣傳的軟件，而是在系統(tǒng)內(nèi)執(zhí)行惡意軟件加載程序(如下圖所示)。

思科Talos安全專家繼續(xù)追蹤后發(fā)現(xiàn)，這些虛假廣告活動(dòng)是由一個(gè)名為“magnat”的未知威脅組織發(fā)布的，同時(shí)他們還發(fā)現(xiàn)，該組織正在更新一系列的惡意軟件。

例如，MagnatExtension可以偽裝成 Google Chrome擴(kuò)展程序，magnat可以通過該拓展程序竊取表單數(shù)據(jù)、收集cookie并在受害者的系統(tǒng)上執(zhí)行任意JavaScript代碼。

再比如，攻擊者還為C2實(shí)施了一種備份機(jī)制，可以從Twitter上直接搜索“#aquamamba2019”或“#ololo2019”等主題標(biāo)簽中獲取新的C2地址。從推文中獲取域的算法既簡單又有效，只需要將推文內(nèi)容的每個(gè)單詞的第一個(gè)字母連接起來。一旦有活動(dòng)的C2可用，數(shù)據(jù)就會(huì)在 HTTP POST 請(qǐng)求的正文中以json格式發(fā)送。

思科Talos安全專家，攻擊者通過密碼竊取程序和類似于銀行木馬的 Chrome 擴(kuò)展程序來竊取信息，其目的有可能是出售獲取利潤，也有可能是進(jìn)行進(jìn)一步利用。雖然我們暫時(shí)還不清楚攻擊者部署 RDP 后門的動(dòng)機(jī)，但最有可能的是，攻擊者想要借此出售 RDP 訪問權(quán)限，或利用 RDP 解決基于 IP 地址或其他端點(diǎn)安裝工具的在線服務(wù)安全功能。

參考來源：https://securityaffairs.co/wordpress/125297/cyber-crime/magnat-malvertising-campaigns.html