Gefährliche Malware, die Passwörter stehlen, verbreitet sich durch Werbung für beliebte Software

Cyberkriminelle werben mit gefälschten Versionen beliebter Software, die versuchen, Benutzer zum Herunterladen von Malware zu verleiten, die Benutzernamen und Passwörter für Angreifer stiehlt, ihnen aber auch Remote-Backdoor-Zugriff auf infizierte Windows-Computer ermöglicht.

Forscher sagen, dass Opfer dank Werbung dazu verleitet wurden, Malware herunterzuladen. Benutzer suchen wahrscheinlich nach legitimen Versionen von Software, aber Werbung weist auf bösartige Versionen hin.

Einige der Programme, die Opfer herunterladen, sind gefälschte Versionen von Messaging-Apps wie Viber und WeChat sowie gefälschte Installer für beliebte Videospiele wie Battlefield.

Das Installationsprogramm installiert nicht die beworbene Software, sondern installiert stattdessen drei Formen von Malware – Passwortdiebstahl, Hintertür und Webbrowser-Erweiterung, die es Angreifern ermöglicht, aufzuzeichnen, was das Opfer auf der Tastatur eingibt, und Screenshots von dem, was der Benutzer sieht.

Die Angriffe wurden von Cisco Talos-Forschern detailliert beschrieben der die Kampagne als “Tycoon” bezeichnete. Sie sagen, dass die Kampagne seit 2018 in gewisser Weise läuft und sich die Malware ständig weiterentwickelt.

Der bei Angriffen verbreitete Passwortdieb heißt Redline. Es ist Malware, die alle Benutzernamen und Passwörter stiehlt, die sie auf einem infizierten System findet. Der Tycoon verbreitete zuvor eine andere Malware zum Stehlen von Passwörtern, Azorult. Der Wechsel zu Redline wurde wahrscheinlich erzwungen, weil Azorult, wie viele Malware, nach der Veröffentlichung von Chrome 80 im Februar 2020 nicht mehr funktionierte.

Der Baccore, den die Forscher MagnatBackdoor nannten, wird seit 2019 mit gelegentlichen mehrmonatigen Unterbrechungen verteilt. MagnatBackdoor konfiguriert das infizierte Windows-System, um verdeckten RDP-Zugriff zuzulassen, einen neuen Benutzer hinzuzufügen und das System so zu planen, dass es den Command-and-Control-Server anpingt, was von Angreifern in bestimmten Zeitabständen initiiert wird. Backdoor ermöglicht es Angreifern, bei Bedarf Remote-Zugriff auf einen Computer zu erhalten.

der dritte Nutzlast ist ein Downloader für eine bösartige Erweiterung für Google Chrome, die Forscher MagnatExtension nannten. Es wird von Angreifern geliefert und ist im Chrome Web Store nicht zu finden.

Diese Erweiterung stiehlt Daten auf verschiedene Weise direkt aus Chrome, darunter die Möglichkeit, Screenshots zu erstellen, Cookies zu stehlen, in Formulare eingegebene Daten zu stehlen sowie einen Keylogger, der alles registriert, was der Benutzer in den Browser eingibt. All diese Informationen werden dann an die Angreifer zurückgesendet. Forscher haben diese Erweiterung mit einem Banking-Trojaner verglichen.

Sie sagen, dass das ultimative Ziel der Malware darin besteht, Benutzeranmeldeinformationen zu erhalten, die entweder im Dark Web verkauft oder von Angreifern weiter ausgenutzt werden. Die Cyberkriminellen hinter MagnatBackdoor und MagnatExtension haben Jahre damit verbracht, Malware zu entwickeln und zu aktualisieren, und dies wird laut Cisco Talos wahrscheinlich so weitergehen.

Mehr als die Hälfte der Opfer befindet sich in Kanada, aber es gibt auch Opfer auf der ganzen Welt, darunter in den Vereinigten Staaten, Europa, Australien und Nigeria.



Source: Informacija.rs by www.informacija.rs.

*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!