Malwares perigosos para roubo de senhas estão se espalhando por meio de anúncios de softwares populares

Os cibercriminosos anunciam versões falsas de softwares populares que tentam enganar os usuários para que baixem malware, que rouba nomes de usuário e senhas para os invasores, mas também fornece acesso backdoor remoto a computadores Windows infectados.

Os pesquisadores dizem que as vítimas foram induzidas a baixar malware graças a anúncios. Os usuários provavelmente estão procurando por versões legítimas de software, mas os anúncios apontam para versões maliciosas.

Alguns dos programas baixados pelas vítimas são versões falsas de aplicativos de mensagens como o Viber e o WeChat, bem como instaladores falsos para videogames populares como o Battlefield.

O instalador não instala o software anunciado, mas, em vez disso, instala três formas de malware – roubo de senha, backdoor e extensão do navegador da web, que permite que os invasores registrem o que a vítima digita no teclado e capturas de tela do que o usuário vê.

Os ataques foram descritos em detalhes por pesquisadores do Cisco Talos que chamou a campanha de “magnata”. Dizem que a campanha está operando com certa capacidade desde 2018 e que o malware está em constante desenvolvimento.

O ladrão de senhas que é distribuído em ataques é conhecido como Redline. É um malware que rouba todos os nomes de usuário e senhas que encontra em um sistema infectado. O magnata já havia distribuído um malware diferente para roubo de senhas, o Azorult. A mudança para o Redline foi provavelmente forçada porque o Azorult, como muitos malware, parou de funcionar após o lançamento do Chrome 80 em fevereiro de 2020.

Já o baccore, que os pesquisadores chamaram de MagnatBackdoor, é distribuído desde 2019, com interrupções ocasionais de vários meses. MagnatBackdoor configura o sistema Windows infectado para permitir acesso RDP oculto, bem como adicionar um novo usuário e agendar o sistema para executar ping no servidor de comando e controle, que é uma ação iniciada por atacantes em determinados intervalos de tempo. O backdoor permite que os invasores obtenham acesso remoto a um computador quando necessário.

o terceiro carga útil é um downloader de uma extensão maliciosa para o Google Chrome, que os pesquisadores chamaram de MagnatExtension. Ele é entregue por invasores e não pode ser encontrado na Chrome Web Store.

Esta extensão rouba dados diretamente do Chrome de várias maneiras, incluindo a capacidade de fazer capturas de tela, roubar cookies, roubar dados inseridos em formulários, bem como um keylogger, que registra tudo o que o usuário digita no navegador. Todas essas informações são enviadas de volta aos invasores. Os pesquisadores compararam esta extensão a um Trojan bancário.

Eles dizem que o objetivo final do malware é obter as credenciais do usuário, seja para venda na dark web ou para posterior exploração por invasores. Os cibercriminosos por trás do MagnatBackdoor e MagnatExtension passaram anos desenvolvendo e atualizando malware e isso deve continuar, de acordo com Cisco Talos.

Mais da metade das vítimas está no Canadá, mas também há vítimas em todo o mundo, incluindo Estados Unidos, Europa, Austrália e Nigéria.



Source: Informacija.rs by www.informacija.rs.

*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!