Новая кампания распространяет вредоносы под видом Viber и WeChat
Специалисты компании Cisco Talos сообщили о серии вредоносных кампаний с использованием мошеннической рекламы. Преступники использовали поддельные установщики популярных приложений и игр, таких как Viber, WeChat, NoxPlayer и Battlefield, в качестве приманки, чтобы обманом заставить пользователей загрузить бэкдор и вредоносное расширение для браузера Google Chrome. Вредоносы позволяют хакерам похищать учетные данные и получить постоянный удаленный доступ на скомпрометированных системах.
Cisco Talos связала кампании с ранее неизвестной группировкой, отслеживаемой специалистами под названием Magnat. Как отметили специалисты, «эти два семейства вредоносов постоянно развивались и совершенствовались их авторами».
Атаки начались предположительно в конце 2018 года и периодически продолжались до начала 2020 года. Новые атаки начались с апреля 2021 года и затронули пользователей в Канаде, а затем в США, Австралии, Италии, Испании и Норвегии.
Киберпреступники используют мошенническую рекламу для осуществления атак на пользователей, которые ищут популярное программное обеспечение в поисковых системах. Злоумышленники предоставляют им ссылки для загрузки якобы легитимных установщиков, на самом деле устанавливающих программу для кражи паролей RedLine Stealer, расширение Chrome под названием MagnatExtension для регистрации нажатий клавиш и снимков экрана, а также бэкдор на основе AutoIt для удаленного доступа к устройству.
MagnatExtension маскируется под легитимный сервис «Google Безопасный просмотр» и включает функции кражи данных форм, сбора cookie-файлов и выполнения произвольного JavaScript-кода.
Также эксперты отметили структуру командного центра расширения. Хотя адрес командного центра встроен во вредонос, он может обновляться текущим командным центром, включающим список дополнительных управляющих доменов. В противном случае он возвращается к альтернативному методу, который включает получение нового адреса из поиска в Twitter по специальным хэштегам — #aquamamba2019 или #ololo2019.
Затем имя домена создается на основе соответствующего сообщения в Twitter путем объединения первой буквы каждого слова. Таким образом, публикация с содержанием «Squishy turbulent areas terminate active round engines after dank years. Industrial creepy units» и хештегом #aquamamba2019 расшифровывается как stataready[.]icu.
Как только активный командный сервер становится доступным, похищенные данные (история браузера, cookie-файлы, данные форм, нажатия клавиш и снимки экрана) отправляются злоумышленникам в виде зашифрованной строки JSON в теле POST-запроса HTTP.
Cisco Talos связала кампании с ранее неизвестной группировкой, отслеживаемой специалистами под названием Magnat. Как отметили специалисты, «эти два семейства вредоносов постоянно развивались и совершенствовались их авторами».
Атаки начались предположительно в конце 2018 года и периодически продолжались до начала 2020 года. Новые атаки начались с апреля 2021 года и затронули пользователей в Канаде, а затем в США, Австралии, Италии, Испании и Норвегии.
Киберпреступники используют мошенническую рекламу для осуществления атак на пользователей, которые ищут популярное программное обеспечение в поисковых системах. Злоумышленники предоставляют им ссылки для загрузки якобы легитимных установщиков, на самом деле устанавливающих программу для кражи паролей RedLine Stealer, расширение Chrome под названием MagnatExtension для регистрации нажатий клавиш и снимков экрана, а также бэкдор на основе AutoIt для удаленного доступа к устройству.
MagnatExtension маскируется под легитимный сервис «Google Безопасный просмотр» и включает функции кражи данных форм, сбора cookie-файлов и выполнения произвольного JavaScript-кода.
Также эксперты отметили структуру командного центра расширения. Хотя адрес командного центра встроен во вредонос, он может обновляться текущим командным центром, включающим список дополнительных управляющих доменов. В противном случае он возвращается к альтернативному методу, который включает получение нового адреса из поиска в Twitter по специальным хэштегам — #aquamamba2019 или #ololo2019.
Затем имя домена создается на основе соответствующего сообщения в Twitter путем объединения первой буквы каждого слова. Таким образом, публикация с содержанием «Squishy turbulent areas terminate active round engines after dank years. Industrial creepy units» и хештегом #aquamamba2019 расшифровывается как stataready[.]icu.
Как только активный командный сервер становится доступным, похищенные данные (история браузера, cookie-файлы, данные форм, нажатия клавиш и снимки экрана) отправляются злоумышленникам в виде зашифрованной строки JSON в теле POST-запроса HTTP.
похожие материалы
Роскомнадзор назвал страны-источники вредоносного трафика
Роскомнадзор сообщил, что доля зарубежного вредоносного трафика, поступающего в Россию, во втором полугодии 2025 года оставалась стабильно высокой.
Мошенники захватывают опубликованные домены Snap Email для распространения вредоносного ПО
Исследователи по кибербезопасности обнаружили новую тактику злоумышленников, которые используют захваченные опубликованные домены проекта Snap Email для размещения вредоносного ПО и фишинговых материалов.
Исследователи «перехватили» куки у авторов одного из крупнейших cookie-стилеров
Специалисты по кибербезопасности из CyberArk Labs рассказали о необычном случае исследования вредоносного ПО - им удалось извлечь активные session-cookies из инфраструктуры самого стилера, который предназначен для кражи куки у пользователей.
Приложения в App Store сливают данные пользователей
Исследователи обнаружили в App Store сотни приложений, сливающих пользовательские данные — от имён и адресов электронной почты до истории чатов.
Мошенники используют игру в кости в Telegram для обмана пользователей
В мессенджере Telegram злоумышленники начали применять схему обмана, основанную на виртуальной игре в кости, чтобы выманивать у людей деньги и личные данные.
Автоматизация инфраструктуры стала удобнее: клиентам Astra Automation доступна Ansible-коллекция для управления VMmanager
«Группа Астра» сообщает о новой интеграции платформы Astra Automation.
МВД предупредило о мошенничестве с совместными поездками и фейковыми чатами
В начале 2026 года мошенники начали активно использовать схему обмана, связанную с совместными поездками и поиском попутчиков.
Согласно исследованию OpenRouter, модели искусственного интеллекта из Китая становятся все более популярными
В 2024 году доля ИИ из Китая на мировом рынке составляла всего 1%, но в ноябре 2025 года она уже выросла до 15%.
Мошенники готовятся атаковать бизнес в России на фоне повышения ставки НДС
Мошенники начали готовиться к новой волне атак на российские компании на фоне повышения базовой ставки НДС до 22% с 1 января 2026 года.
Google и Mandiant выпустили «rainbow tables», чтобы ускорить отказ от протокола Net-NTLMv1
Специалисты по кибербезопасности из Google Threat Intelligence Group и Mandiant опубликовали большой набор так называемых «rainbow tables» для протокола аутентификации Net-NTLMv1.