يحلل مجرمو الإنترنت باستمرار مجال التكنولوجيا بحثًا عن طرق جديدة لاستغلال المستخدمين والحصول على بياناتهم الشخصية. في الماضي، تم استخدام هجمات التصيد الاحتيالي Phishing Attacks لخداع المستخدمين لتقديم معلومات حساسة من خلال التظاهر كمصدر موثوق به وطلب بيانات المستخدم. ولكن وفقًا لمنظمة Talos الاستخباراتية للتهديدات التابعة لشركة Cisco، فإن حملة خبيثة جديدة تكتسب قوة جذب كطريقة فعالة لجمع المعلومات من المستخدمين غير المعروفين.
ما يعرف باسم الإعلانات الخبيثة Malvertising، يعتقد Talos Intelligence من Cisco، أن حملة معينة تُعرف باسم Magnat تستخدم إعلانات احتيالية عبر الإنترنت لخداع المستخدمين الذين يبحثون عن مُثبِّت برامج شرعيين. يعتقد فريق معلومات التهديدات من Cisco أن حملة Magnat ربما تكون قد بدأت في أواخر عام 2018 وتستهدف المستخدمين في كندا والولايات المتحدة وأستراليا والعديد من الدول الأوروبية الأخرى.
بمجرد توجيه المستخدم إلى التنزيل الاحتيالي، يقوم بتشغيل برنامج تثبيت مزيف ينشر ثلاثة أجزاء مميزة من البرامج الضارة إلى نظامهم. بينما يعمل المثبت المزيف على تثبيت مكونات متعددة للبرامج الضارة، فإنه لا يقوم بتثبيت التطبيق الفعلي الذي كان المستخدم يبحث عنه في الأصل.
الجزء الأول من البرامج الضارة هو عبارة عن أداة سرقة كلمات مرور تُستخدم لجمع بيانات اعتماد المستخدم، غالبًا عبر أداة شائعة تُعرف باسم Redline. يقوم جزء آخر من البرامج الضارة، يُعرف باسم MagnatBackdoor، بإعداد الوصول عن بُعد إلى جهاز المستخدم عبر Microsoft Remote Desktop. يمكن أن يوفر هذا الوصول، جنبًا إلى جنب مع بيانات اعتماد المستخدم المسروقة بواسطة Redline (أو أداة مماثلة)، وصولاً غير مقيد إلى أنظمة المستخدم على الرغم من كونها مؤمنة ومحمية بجدار ناري. الجزء الأخير من trifecta للبرامج الضارة هو ملحق لمتصفح Chrome المعروف باسم MagnatExtension، والذي يستخدم لتسجيل لوحة المفاتيح، والحصول على لقطات شاشة للمعلومات الحساسة، وما إلى ذلك.
ما يعرف باسم الإعلانات الخبيثة Malvertising، يعتقد Talos Intelligence من Cisco، أن حملة معينة تُعرف باسم Magnat تستخدم إعلانات احتيالية عبر الإنترنت لخداع المستخدمين الذين يبحثون عن مُثبِّت برامج شرعيين. يعتقد فريق معلومات التهديدات من Cisco أن حملة Magnat ربما تكون قد بدأت في أواخر عام 2018 وتستهدف المستخدمين في كندا والولايات المتحدة وأستراليا والعديد من الدول الأوروبية الأخرى.
بمجرد توجيه المستخدم إلى التنزيل الاحتيالي، يقوم بتشغيل برنامج تثبيت مزيف ينشر ثلاثة أجزاء مميزة من البرامج الضارة إلى نظامهم. بينما يعمل المثبت المزيف على تثبيت مكونات متعددة للبرامج الضارة، فإنه لا يقوم بتثبيت التطبيق الفعلي الذي كان المستخدم يبحث عنه في الأصل.
الجزء الأول من البرامج الضارة هو عبارة عن أداة سرقة كلمات مرور تُستخدم لجمع بيانات اعتماد المستخدم، غالبًا عبر أداة شائعة تُعرف باسم Redline. يقوم جزء آخر من البرامج الضارة، يُعرف باسم MagnatBackdoor، بإعداد الوصول عن بُعد إلى جهاز المستخدم عبر Microsoft Remote Desktop. يمكن أن يوفر هذا الوصول، جنبًا إلى جنب مع بيانات اعتماد المستخدم المسروقة بواسطة Redline (أو أداة مماثلة)، وصولاً غير مقيد إلى أنظمة المستخدم على الرغم من كونها مؤمنة ومحمية بجدار ناري. الجزء الأخير من trifecta للبرامج الضارة هو ملحق لمتصفح Chrome المعروف باسم MagnatExtension، والذي يستخدم لتسجيل لوحة المفاتيح، والحصول على لقطات شاشة للمعلومات الحساسة، وما إلى ذلك.
قدمت تغريدة في أغسطس 2021 لقطات شاشة وتنزيل عينات لحملة دعاية خاطئة مشتبه بها. قام Talos بتحليل العينات المشار إليها في التغريدة وتحقق من أن عينة واحدة على الأقل تحتوي على مكونات البرامج الضارة MagnatBackdoor و MagnatExtension و Redline.
#RedLineStealer being delivered through fake WeChat installers, coming from @GoogleAds .
.zip -> .iso -> .exehttps://t.co/J5npamHM1P
Creates a new user account, forwards RDP port, drops RDPWrap... Damn.
cc @JAMESWT_MHT @James_inthe_box @malwrhunterteam pic.twitter.com/0Jvaz4tChc— Aura (@SecurityAura) August 9, 2021
يعتقد Talos أن أدوات Magnat قد تم تطويرها وتحسينها على مدار عدة سنوات ولا تظهر أي علامات على التباطؤ في أي وقت قريب. يتطور اسم حزمة المثبت باستمرار ويشير عادةً إلى اسم التطبيقات الشائعة لإضفاء المصداقية وخداع المستخدمين لنشر الحزمة.
تتضمن أمثلة أسماء الحزم السابقة viber-25164.exe و wechat-35355.exe و build_9.716-6032.exe و setup_164335.exe و nox_setup_55606.exe و battlefieldsetup_76522.exe.