Eksperci Cisco Talos zaobserwowali w ostatnim czasie kampanię dystrybucji złośliwego oprogramowania, która miała na celu nakłonienie użytkowników do uruchomiania na swoich urządzeniach fałszywych instalatorów popularnych programów. Połączenie reklamy i fałszywych instalatorów jest szczególnie podstępne, ponieważ użytkownicy, do których dociera ten przekaz, są już zdecydowani i gotowi do uruchomienia danych programów na swoich systemach.
Po uruchomieniu fałszywych instalatorów, urządzenie ofiary jest atakowane na trzy sposoby, przez:
- Skrypt wykradający hasła, który zbiera wszystkie dane uwierzytelniające dostępne w systemie.
- „Furtkę”, która umożliwia zdalny dostęp poprzez ukrytą sesję Microsoft Remote Desktop, przekierowując port RDP przez SSH i umożliwiając dostęp do systemów nawet zabezpieczonych firewall’em.
- Złośliwe rozszerzenie przeglądarki, które zawiera kilka funkcji wykradających informacje, takich jak keylogging i robienie zrzutów ekranu.
Kradzieże loginów i haseł od dawna stanowią zagrożenie zarówno dla osób prywatnych, jak i firm. Skradzione dane są często sprzedawane na podziemnych forach, co może sprawić, że posłużą one do kolejnych ataków. Zainfekowane rozszerzenie do przeglądarki Chrome jeszcze bardziej zwiększa to ryzyko, umożliwiając kradzież danych uwierzytelniających używanych w Internecie, które nie są przechowywane w systemie. Dodatkowo, wykorzystanie tunelu SSH (ang. Secure shell) do przekierowania protokołu RDP (Remote Desktop Protocol) na zewnętrzny serwer zapewnia atakującym niezawodny sposób na zdalne zalogowanie się do systemu, omijając firewalla.
Skrócony przebieg i schemat kampanii „Magnat”
Atak rozpoczyna się w momencie, gdy potencjalna ofiara szuka konkretnego oprogramowania do pobrania. Eksperci Cisco Talos uważają, że atakujący przygotował kampanię reklamową, która przedstawiała linki do strony internetowej oferującej pobranie instalatora oprogramowania. Po uruchomieniu, nie zostaje zainstalowane rzeczywiste oprogramowanie, a jego złośliwa wersja.
W oparciu o telemetrię i daty stworzenia analizowanych próbek oprogramowania, ekspertom Cisco Talos udało się nakreślić oś czasu kampanii, która pomaga zrozumieć działania cyberprzestępcy. Dane telemetryczne skupiają się jedynie na aktywności MagnatBackdoor i pokazują, że furtka była dystrybuowana od końca 2019 roku do początku 2020. Po okresie przerwy, w kwietniu 2021 roku ponownie odnotowano przypadki ataku.
Opracowanie Cisco Talos dokumentuje zestaw złośliwych kampanii, które trwały od około trzech lat, wykorzystując trio złośliwego oprogramowania, w tym dwa wcześniej nieudokumentowane narzędzia (MagnatBackdoor i MagnatExtension). W tym czasie te dwie rodziny zagrożeń były stale rozwijane i udoskonalane przez ich autorów.
