【安全资讯】Magnat攻击者利用恶意广告诱使用户安装恶意程序

引言

研究人员观察到一项恶意活动，攻击者提供流行软件的虚假安装程序作为诱饵，试图诱骗用户在其系统上执行恶意软件。研究人员表示，恶意软件的开发者很可能是化名为“Magnat”的攻击者。此次活动始于2018年底，主要针对加拿大、美国、澳大利亚、意大利、西班牙、挪威等国。

简况

攻击者建立了一个广告活动，提供软件安装程序的下载链接。安装程序有许多不同的文件名。虚假安装程序一旦运行，就会在受害者的系统上执行执行恶意加载程序，最终的有效载荷包括三个恶意软件：

• Redline密码窃取程序：可用于收集系统上的所有可用凭据。
• MagnatBackdoor后门：配置系统以进行隐秘 RDP 访问，添加一个新用户并设置计划任务以定期 ping C2，并在收到指示时创建一个出站 ssh 隧道转发 RDP服务。
• MagnatExtension：chrome 扩展的安装程序，包含多项信息窃取功能，如键盘记录和截屏。

攻击者的时间线如下：

此次恶意活动的攻击重点是加拿大（超过 50% 的感染发生在加拿大），其次是美国和澳大利亚，意大利、西班牙和挪威也出现了几次感染。受害者的地理分布如下：

Redline是一种相对常见的恶意软件，可窃取受感染系统上发现的所有用户名和密码。

MagnatBackdoor是一个基于 AutoIt 的安装程序，配置受感染的 Windows 系统以启用隐蔽的远程桌面协议 (RDP) 访问，并在出站 SSH 隧道上转发 RDP 服务端口。后门的功能如下图：

MagnatExtension由可执行文件提供，可以准备系统和安装扩展。该扩展程序由攻击者提供，并非来自 Chrome 扩展程序商店。该扩展程序本身由三个文件组成：一个清单文件、一个图标和一个 background.js 文件。扩展代码使用多种技术进行混淆，例如函数重定向、加密替换数组、函数包装器和字符串编码。此扩展程序的功能与银行木马程序非常相似，定期连接到 C2 以接收更新的配置设置。然后使用这些设置来控制允许从浏览器窃取数据的功能的行为，例如表单抓取器、键盘记录器和屏幕截图器等。MagnatExtension的功能如下图：

总结

此次攻击活动提供了三个恶意软件，包括两个以前未记录的新家族MagnatBackdoor 和 MagnatExtension。攻击者的动机似乎是通过出售窃取的凭证、欺诈性交易和对系统的远程桌面访问来获取经济利益。