يستخدم القراصنة الإعلانات المزيفة لتوزيع البرامج الضارة

يحلل مجرمو الإنترنت باستمرار مجال التكنولوجيا بحثًا عن طرق جديدة لاستغلال المستخدمين والحصول على بياناتهم الشخصية. في الماضي ، تم استخدام هجمات التصيد الاحتيالي لخداع المستخدمين لتقديم معلومات حساسة من خلال التظاهر كمصدر موثوق به وطلب بيانات المستخدم. ولكن وفقًا لمنظمة Talos الاستخباراتية للتهديدات التابعة لشركة Cisco ، فإن حملة خبيثة جديدة تكتسب قوة جذب كطريقة فعالة لجمع المعلومات من المستخدمين غير المعروفين.

يعرف باسم الإعلانات الخبيبثة حسب Talos Intelligence من Cisco ، فإن حملة معينة تُعرف باسم “Magnat” تستخدم إعلانات احتيالية عبر الإنترنت لخداع المستخدمين الذين يبحثون عن تحميل وتثبيث برامج. يعتقد فريق استخبارات التهديدات من Cisco أن حملة Magnat ربما تكون قد بدأت في أواخر عام 2018 وتستهدف المستخدمين في كندا والولايات المتحدة وأستراليا والعديد من الدول الأوروبية الأخرى.

بمجرد أن يتم توجيه المستخدم إلى التنزيل الاحتيالي ، فإنه يقوم بتشغيل مُثبِّت مزيف ينشر ثلاثة أجزاء مميزة من البرامج الضارة إلى نظامهم. بينما يعمل المثبت المزيف على تثبيت مكونات متعددة للبرامج الضارة ، فإنه لا يقوم بتثبيت التطبيق الفعلي الذي كان المستخدم يبحث عنه في الأصل.

الجزء الأول من البرامج الضارة هو عبارة عن أداة سرقة كلمات مرور تُستخدم لجمع بيانات اعتماد المستخدم ، غالبًا عبر أداة شائعة تُعرف باسم Redline. يقوم جزء آخر من البرامج الضارة ، يُعرف باسم MagnatBackdoor ، بإعداد الوصول عن بُعد إلى جهاز المستخدم عبر Microsoft Remote Desktop. يمكن أن يوفر هذا الوصول ، جنبًا إلى جنب مع بيانات اعتماد المستخدم المسروقة بواسطة Redline (أو أداة مماثلة) ، وصولاً غير مقيد لأنظمة المستخدم على الرغم من كونها مؤمنة ومحمية بجدار ناري. الجزء الأخير من الثلاثية للبرامج الضارة هو امتداد متصفح Chrome المعروف باسم MagnatExtension ، والذي يستخدم لتسجيل لوحة المفاتيح ، والحصول على لقطات شاشة للمعلومات الحساسة ، وما إلى ذلك.

قدمت تغريدة في أغسطس 2021 لقطات شاشة وتنزيل عينات لحملة دعاية خبيثة مشتبه بها. قامت Talos بتحليل العينات المشار إليها في التغريدة وتحقق من أن عينة واحدة على الأقل تحتوي على مكونات البرامج الضارة MagnatBackdoor و MagnatExtension و Redline.

#RedLineStealer being delivered through fake WeChat installers, coming from @GoogleAds .

.zip -> .iso -> .exehttps://t.co/J5npamHM1P

Creates a new user account, forwards RDP port, drops RDPWrap… Damn.

cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc
— Aura (@SecurityAura) August 9, 2021

تعتقد Talos أن أدوات Magnat قد تم تطويرها وتحسينها على مدار عدة سنوات ولا تظهر أي علامات على التباطؤ في أي وقت قريب. يتطور اسم حزمة المثبت باستمرار ويشير عادةً إلى اسم التطبيقات الشائعة لإضفاء المصداقية وخداع المستخدمين لنشر الحزمة. تتضمن أمثلة أسماء الحزم السابقة viber-25164.exe و wechat-35355.exe و build_9.716-6032.exe و setup_164335.exe و nox_setup_55606.exe و battlefieldsetup_76522.exe.