密码窃取和键盘记录恶意软件正在通过虚假下载传播

密码窃取和键盘记录恶意软件正在通过虚假下载传播

络安全研究人员披露了一项新发现的活动，该活动使用户自定义恶意软件以从受害者那里窃取用户名，密码和其他敏感信息。

络犯罪分子正在使用流行软件的虚假版本的在线广告来诱骗用户下载三种形式的恶意软件- 包括具有与特洛伊木马恶意软件相同功能的恶意浏览器扩展 – 为攻击者提供用户名和密码，以及后门远程访问受感染的Windows PC。

这些攻击传播了两种形式的看似未记录的定制开发的恶意软件，思科Talos的 络安全研究人员详细介绍了这些攻击，他们将该活动命名为”magnat”。自2018年以来，该活动似乎一直在以某种身份运作，并且恶意软件一直在不断发展。

超过一半的受害者在加拿大，但世界各地也有受害者，包括美国，欧洲，澳大利亚和尼日利亚。

研究人员认为，受害者被欺骗通过恶意广告（恶意在线广告）下载恶意软件，诱骗他们将流行软件的虚假安装程序下载到他们的系统上。用户可能正在寻找该软件的合法版本，但通过广告被定向到恶意版本。

用户被欺骗下载的一些软件包括Viber和微信等消息传递应用程序的假版本，以及Battlefield等流行视频游戏的假安装程序。

安装程序不会安装宣传的软件，而是安装三种形式的恶意软件 – 密码窃取程序，后门程序和恶意浏览器扩展程序，从而可以进行键盘记录并截取受感染用户正在查看的内容的屏幕截图。

在攻击中分发的密码窃取程序称为Redline，这是一种相对常见的恶意软件，可窃取在受感染系统上找到的所有用户名和密码。Magnat之前分发了一个不同的密码窃取者Azorult。切换到Redline可能是因为Azorult与许多其他形式的恶意软件一样，在2020年2月Chrome 80发布后停止正常工作 。

虽然密码窃取者都是现成的商品恶意软件，但以前未记录的后门安装程序 – 研究人员称之为MagnatBackdoor – 似乎是一种自2019年以来一直分发的更定制的恶意软件形式，尽管有时分发已经停止了几个月。

MagnatBackdoor将受感染的Windows系统配置为启用隐蔽的远程桌面协议（RDP）访问，并添加新用户并调度系统定期ping攻击者运行的命令和控制服务器。后门允许攻击者在需要时秘密获得对PC的远程访问。

第三个有效载荷是恶意Google Chrome扩展程序的下载器，研究人员将其命名为MagnatExtension。该扩展程序由攻击者提供，并非来自Chrome扩展程序商店。

SEE：黑客正在转向这种简单的技术，以在PC上安装恶意软件

该扩展程序包含直接从Web浏览器窃取数据的各种方法，包括截取屏幕截图，窃取cookie，窃取在表单中输入的信息的功能，以及键盘记录器，该键盘记录器可以注册用户在浏览器中键入的任何内容。然后将所有这些信息发送回攻击者。

研究人员将扩展的功能比作银行木马。他们认为恶意软件的最终目的是获取用户凭据，要么在暗 上出售，要么被攻击者进一步利用。MagnatBackdoor和MagnatExtension背后的 络犯罪分子花了数年时间开发和更新恶意软件，这种情况可能会继续下去。

“我们认为，这些活动使用恶意广告作为一种手段，以吸引对与软件相关的关键字感兴趣的用户，并向他们展示下载热门软件的链接。这种类型的威胁可能非常有效，需要几层安全控制，例如端点保护， 络过滤和安全意识会话，”他补充说。