Magnatキャンペーン
magnatと名付けられたキャンペーンが観測されています。
人気のあるソフトウェアの偽のソフトウェアインストーラーを実行させようとするマルウェア配布キャンペーンです。
このキャンペーンは2018年から始まっているようですが、内容は少しずつ変化してきています。
現在、次の3つのペイロードを配布します。
- システムで利用可能なすべての資格情報を収集するパスワードスティーラー
Redlineというマルウェアです。
Magnatは以前はパスワードスティーラーとしてAzorultを配布していましたが、Chromeの仕様が変わってこれが意図動作しなくなったため、Redlineに乗り換えたようです。 - ステルスリモートデスクトップ
SSHトンネルを介してRDPポートを転送することにより、ステルスMicrosoftリモートデスクトップセッションを介してリモートアクセスを設定する「バックドア」です。
ファイアウォールの背後にある場合でもシステムにアクセスできます。
MagnatBackdoorと呼ばれています。 - 悪意のあるブラウザ拡張機能
キーロガーやスクリーンショットの撮影など、いくつかの情報を盗む機能を含む悪意のあるブラウザ拡張機能です。
名前はMagnatExtensionです。
これはGoogleChrome拡張機能として機能する実装ですが、Chrome拡張機能ストアでは提供されず、攻撃者によって提供されます。
このキャンペーンは、悪意のあるオンライン広告を使って、人気のあるソフトウェアを探しているユーザに、偽のソフトウェアインストーラーをダウンロードさせるものとなっています。
いわゆるマルバタイジングです。
確認されている対象となっているソフトウェアには、ViberやWeChatなどの偽のバージョンのメッセージングアプリや、Battlefieldなどの人気のあるビデオゲーム用の偽のインストーラーなどがあります。
検索して出てきたアプリケーションのインストーラーをダウンロードしてインストールするのは、簡単です。
古き良き時代はそれでもよかったのかもしれません。
しかし今時は、アプリケーションを入手する際は、正規の方法で入手することが重要なんだと思います。
参考記事(外部リンク):Magnat campaigns use malvertising to deliver information
stealer, backdoor and malicious Chrome extension
blog.talosintelligence.com/2021/12/magnat-campaigns-use-malvertising-to.html
