Muchas campañas maliciosas utilizan instaladores falsos de aplicaciones y juegos populares, como Viber, WeChat, NoxPlayer y Battlefield, como cebo para que los usuarios descarguen una nueva extensión de Google Chrome maliciosa y no documentada para robar el inicio de sesión y los datos almacenados en sistemas comprometidos. además de mantener el acceso remoto permanente.
Cisco Talos atribuyó la carga útil del malware a un actor desconocido llamado «magnate», y señaló que «las dos familias han sido objeto de desarrollo y mejora continuos por parte de sus autores».
Se espera que los ataques comiencen a fines de 2018, con una actividad intermitente observada a fines de 2019 y principios de 2020, seguidos de nuevos aumentos a partir de abril de 2021, con usuarios en Canadá seleccionados, seguidos de EE. UU., Australia, Italia, España y Noruega.
Un aspecto notable de la intrusión es el uso de publicidad maliciosa como un medio para llegar a las personas que buscan software popular en los motores de búsqueda para proporcionarles enlaces para descargar instaladores falsos que lanzan ladrones de contraseñas llamado RedLine Stealer, una extensión de Chrome llamada «MagnatExtension» que es programado para registrar las pulsaciones de teclas y tomar capturas de pantalla, y un portón trasero basado en AutoIt que proporciona acceso remoto a la máquina.
Disfrazado como Navegación segura de Google, MagnatExtension también incluye otras características que son útiles para los atacantes, incluida la capacidad de robar datos de formularios, recolectar cookies y ejecutar código JavaScript arbitrario. Los datos de telemetría analizados por Talos revelaron que la primera muestra de complemento de navegador se detectó en agosto de 2018.
El comando y control (C2) de la extensión también sobresale. Aunque la dirección C2 está codificada, también se puede actualizar con la lista C2 actual de otros dominios C2. Pero en caso de falla, volverá a un método alternativo que implica obtener una nueva dirección C2 de una búsqueda de Twitter usando hashtags como «# aquamamba2019» o «# ololo2019».
Luego, el nombre de dominio se crea a partir del texto que acompaña al tweet concatenando la primera letra de cada palabra, lo que significa un tweet con el contenido «Áreas turbulentas blandas dentro del motor de ronda activa después de dk años». Unidades industriales espeluznantes «y que contienen el hashtag» # aquamamba2019 «se traduce como» stataready[.]icu «.
Una vez que un servidor de comando y control activo está disponible, los datos aspirados (historial del navegador, cookies, datos de formulario, pulsaciones de teclas y capturas de pantalla) se filtran en forma de una cadena JSON cifrada en el cuerpo de la solicitud HTTP POST. una clave que está codificada en la función de descifrado. La clave de cifrado se cifra a su vez con la clave pública del servidor.
«Basándonos en el uso de ladrones de contraseñas y extensiones de Chrome similares a un troyano bancario, creemos que el objetivo del atacante es obtener credenciales de usuario, posiblemente para la venta o para uso personal en caso de un uso indebido posterior», dijo el investigador de Cisco Talos, Tiago Pereira. él dijo.
«El motivo para implementar puertas traseras RDP no está claro. Lo más probable es que la venta de acceso RDP, el uso de RDP para eludir las funciones de seguridad de los servicios en línea basados en la dirección IP u otras herramientas de punto final instaladas, o el uso de RDP para una mayor explotación en sistemas que parecen ser de interés para el atacante «.
