Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новая кампания распространяет вредоносы под видом Viber и WeChat

07/12/21

hack110Специалисты компании Cisco Talos сообщили о серии вредоносных кампаний с использованием мошеннической рекламы. Преступники использовали поддельные установщики популярных приложений и игр, таких как Viber, WeChat, NoxPlayer и Battlefield, в качестве приманки, чтобы обманом заставить пользователей загрузить бэкдор и вредоносное расширение для браузера Google Chrome. Вредоносы позволяют хакерам похищать учетные данные и получить постоянный удаленный доступ на скомпрометированных системах.

Cisco Talos связала кампании с ранее неизвестной группировкой, отслеживаемой специалистами под названием Magnat. Как отметили специалисты, «эти два семейства вредоносов постоянно развивались и совершенствовались их авторами».

Атаки начались предположительно в конце 2018 года и периодически продолжались до начала 2020 года. Новые атаки начались с апреля 2021 года и затронули пользователей в Канаде, а затем в США, Австралии, Италии, Испании и Норвегии.

Киберпреступники используют мошенническую рекламу для осуществления атак на пользователей, которые ищут популярное программное обеспечение в поисковых системах. Злоумышленники предоставляют им ссылки для загрузки якобы легитимных установщиков, на самом деле устанавливающих программу для кражи паролей RedLine Stealer, расширение Chrome под названием MagnatExtension для регистрации нажатий клавиш и снимков экрана, а также бэкдор на основе AutoIt для удаленного доступа к устройству.

MagnatExtension маскируется под легитимный сервис «Google Безопасный просмотр» и включает функции кражи данных форм, сбора cookie-файлов и выполнения произвольного JavaScript-кода.

Также эксперты отметили структуру командного центра расширения. Хотя адрес командного центра встроен во вредонос, он может обновляться текущим командным центром, включающим список дополнительных управляющих доменов. В противном случае он возвращается к альтернативному методу, который включает получение нового адреса из поиска в Twitter по специальным хэштегам — #aquamamba2019 или #ololo2019.

Затем имя домена создается на основе соответствующего сообщения в Twitter путем объединения первой буквы каждого слова. Таким образом, публикация с содержанием «Squishy turbulent areas terminate active round engines after dank years. Industrial creepy units» и хештегом #aquamamba2019 расшифровывается как stataready[.]icu.

Как только активный командный сервер становится доступным, похищенные данные (история браузера, cookie-файлы, данные форм, нажатия клавиш и снимки экрана) отправляются злоумышленникам в виде зашифрованной строки JSON в теле POST-запроса HTTP.

Темы:смартфоныУгрозыфальшивые приложенияМошенничествоCisco Talos
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...