网络黑客正利用虚假广告来传播恶意程序

安全 PRO 稿源：cnbeta 2021-12-07 14:44

网络犯罪分子正不断提高技术方式，寻找利用用户并获取其个人数据的新方法。过去，欺骗用户提供敏感信息最常见的方式就是网络钓鱼攻击，伪装成可靠的来源并要求提供用户的数据。不过根据思科 Talos 威胁情报组织的最新安全报告，作为从不知情的用户那里获取信息的有效方法，一种新的恶意活动已经越来越受到重视。

这种方法叫做“恶意广告”（malvertising），Talos 情报组织认为，一个被称为“Magnat”的特定活动利用欺诈性的在线广告来欺骗那些正在搜索合法软件安装程序的用户。思科威胁情报团队认为，Magnat 活动可能在 2018 年底开始，目标是加拿大、美国、澳大利亚和其他几个欧洲国家的用户。

一旦用户被引导到欺诈性下载，他们就会运行一个假的安装程序，将三个不同的恶意软件部署到他们的系统。虽然假安装程序开始安装多个恶意软件组件，但它并没有安装用户最初搜索的实际应用程序。

第一款恶意软件是一个密码窃取器，用于收集用户凭证，通常通过一个被称为 Redline 的普通工具。另一个恶意软件，称为 MagnatBackdoor，通过微软远程桌面设置对用户设备的远程访问。这种访问，结合由 Redline（或类似工具）窃取的用户凭证，可以提供对用户系统的不受约束的访问，尽管它是安全和防火墙。第三款恶意软件是一个被称为 MagnatExtension 的 Chrome 浏览器扩展，它被用于键盘记录，获取敏感信息的屏幕截图等。

2021年8月的一条推文提供了一个可疑的恶意广告活动的截图和下载样本。Talos分析了推文中提到的样本，并验证了至少一个样本包含MagnatBackdoor、MagnatExtension和Redline恶意软件组件。

Talos认为Magnat工具经过几年的发展和改进，并没有很快放缓的迹象。安装包的名称不断变化，通常参考流行的应用程序的名称，以增加可信度，并欺骗用户部署该包。过去软件包名称的例子包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe和 battlefieldsetup_76522.exe。