Group IB

Новая кампания распространяет вредоносы под видом Viber и WeChat

07.12.2021
Новая кампания распространяет вредоносы под видом Viber и WeChat
Специалисты компании Cisco Talos сообщили о серии вредоносных кампаний с использованием мошеннической рекламы. Преступники использовали поддельные установщики популярных приложений и игр, таких как Viber, WeChat, NoxPlayer и Battlefield, в качестве приманки, чтобы обманом заставить пользователей загрузить бэкдор и вредоносное расширение для браузера Google Chrome. Вредоносы позволяют хакерам похищать учетные данные и получить постоянный удаленный доступ на скомпрометированных системах.

Cisco Talos связала кампании с ранее неизвестной группировкой, отслеживаемой специалистами под названием Magnat. Как отметили специалисты, «эти два семейства вредоносов постоянно развивались и совершенствовались их авторами».

Атаки начались предположительно в конце 2018 года и периодически продолжались до начала 2020 года. Новые атаки начались с апреля 2021 года и затронули пользователей в Канаде, а затем в США, Австралии, Италии, Испании и Норвегии.

Киберпреступники используют мошенническую рекламу для осуществления атак на пользователей, которые ищут популярное программное обеспечение в поисковых системах. Злоумышленники предоставляют им ссылки для загрузки якобы легитимных установщиков, на самом деле устанавливающих программу для кражи паролей RedLine Stealer, расширение Chrome под названием MagnatExtension для регистрации нажатий клавиш и снимков экрана, а также бэкдор на основе AutoIt для удаленного доступа к устройству.

MagnatExtension маскируется под легитимный сервис «Google Безопасный просмотр» и включает функции кражи данных форм, сбора cookie-файлов и выполнения произвольного JavaScript-кода.

Также эксперты отметили структуру командного центра расширения. Хотя адрес командного центра встроен во вредонос, он может обновляться текущим командным центром, включающим список дополнительных управляющих доменов. В противном случае он возвращается к альтернативному методу, который включает получение нового адреса из поиска в Twitter по специальным хэштегам — #aquamamba2019 или #ololo2019.

Затем имя домена создается на основе соответствующего сообщения в Twitter путем объединения первой буквы каждого слова. Таким образом, публикация с содержанием «Squishy turbulent areas terminate active round engines after dank years. Industrial creepy units» и хештегом #aquamamba2019 расшифровывается как stataready[.]icu.

Как только активный командный сервер становится доступным, похищенные данные (история браузера, cookie-файлы, данные форм, нажатия клавиш и снимки экрана) отправляются злоумышленникам в виде зашифрованной строки JSON в теле POST-запроса HTTP.