【安全资讯】Magnat攻击者利用恶意广告诱使用户安装恶意程序

安恒威胁情报中心 2021-12-07 14:54:14 285人浏览

引言

研究人员观察到一项恶意活动,攻击者提供流行软件的虚假安装程序作为诱饵,试图诱骗用户在其系统上执行恶意软件。研究人员表示,恶意软件的开发者很可能是化名为“Magnat”的攻击者。此次活动始于2018年底,主要针对加拿大、美国、澳大利亚、意大利、西班牙、挪威等国。

 

简况

攻击者建立了一个广告活动,提供软件安装程序的下载链接。安装程序有许多不同的文件名。虚假安装程序一旦运行,就会在受害者的系统上执行执行恶意加载程序,最终的有效载荷包括三个恶意软件:

  • Redline密码窃取程序:可用于收集系统上的所有可用凭据。
  • MagnatBackdoor后门:配置系统以进行隐秘 RDP 访问,添加一个新用户并设置计划任务以定期 ping C2,并在收到指示时创建一个出站 ssh 隧道转发 RDP服务。
  • MagnatExtension:chrome 扩展的安装程序,包含多项信息窃取功能,如键盘记录和截屏。

 

攻击者的时间线如下:

 

此次恶意活动的攻击重点是加拿大(超过 50% 的感染发生在加拿大),其次是美国和澳大利亚,意大利、西班牙和挪威也出现了几次感染。受害者的地理分布如下:

 

Redline是一种相对常见的恶意软件,可窃取受感染系统上发现的所有用户名和密码。

 

MagnatBackdoor是一个基于 AutoIt 的安装程序,配置受感染的 Windows 系统以启用隐蔽的远程桌面协议 (RDP) 访问,并在出站 SSH 隧道上转发 RDP 服务端口。后门的功能如下图:

 

MagnatExtension由可执行文件提供,可以准备系统和安装扩展。该扩展程序由攻击者提供,并非来自 Chrome 扩展程序商店。该扩展程序本身由三个文件组成:一个清单文件、一个图标和一个 background.js 文件。扩展代码使用多种技术进行混淆,例如函数重定向、加密替换数组、函数包装器和字符串编码。此扩展程序的功能与银行木马程序非常相似,定期连接到 C2 以接收更新的配置设置。然后使用这些设置来控制允许从浏览器窃取数据的功能的行为,例如表单抓取器、键盘记录器和屏幕截图器等。MagnatExtension的功能如下图:

 

总结

此次攻击活动提供了三个恶意软件,包括两个以前未记录的新家族MagnatBackdoor 和 MagnatExtension。攻击者的动机似乎是通过出售窃取的凭证、欺诈性交易和对系统的远程桌面访问来获取经济利益。

 

失陷指标(IOC)74
Magnat Redline MagnatBackdoor MagnatExtension 加拿大 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。