Sikkerhetsforskere rapporterer nå om en ny, farlig skadevare som blant annet er i stand til å stjele passordene på systemer som infiseres. Skadevaren er oppdaget i en rekke ulike land, og Norge er blant landene som er rammet.
Den nye skadevarekampanjen har fått navnet Magnat og ble nylig beskrevet av sikkerhetsselskapet Cisco Talos.
Spres via annonser og legitime programnavn
Ifølge forskerne hos Cisco Talos spres skadevaren gjennom nedlastinger av programvare som utgir seg for å være legitime, populære programmer. Distribusjonsmetoden er hovedsakelig ondsinnede annonser – det som kalles «malvertising» på engelsk.
– Vi tror med moderat grad av sikkerhet at annonser på nett brukes til å nå potensielle ofre som leter etter programvare til å installere på systemene sine. Kombinasjonen av annonsering og falske programvarenedlastere er særlig vrien siden brukerne som nåes med annonsene, allerede er disponert for å kjøre en installasjon på systemene sine, skriver selskapet.
Basert på navnene til noen av exe-filene som spres i kampanjen, skjuler skadevaren seg blant annet bak populære meldingsapper som Viber og WeChat og populære velkjente dataspill som Battlefield.
Det er tre ulike typer skadevare som spres i kampanjen. Den ene er designet for å stjele passord, den andre er en bakdør som gjør det mulig for hackere å oppnå skjult fjerntilgang til systemet via RDP-protokollen (remote access protocol), og den tredje er en ondsinnet nettleserutvidelse til Chrome.
Norske ofre
Chrome-utvidelsen har likhetstrekk med banktrojanere og stjeler informasjon fra nettleseren på flere ulike måter, blant annet gjennom «keylogging» – som betyr å registrere brukerens tastetrykk – og ved å ta skjermbilder på PC-en. Den kan også stjele informasjonskapsler, altså «cookies».
Distribusjonskampanjen skal ha startet allerede i 2018, og de fleste målene befinner seg i Canada, USA og Australia. Skadevaren er imidlertid også oppdaget i et knippe europeiske land, og Cisco nevner spesifikt Norge blant disse – uten at det er klart hvor mange norske ofre det dreier seg om. De andre landene er Italia og Spania.
– Basert på bruk av passordstjelere og en Chrome-utvidelse som ligner på en banktrojaner, mener vi at angripernes mål er å skaffe seg brukerdata, muligens for salg eller for videre utnyttelse. Motivet for å installere en RDP-bakdør er uvisst. Mest sannsynlig er det salg av RDP-tilgang, bruk av RDP til å komme rundt sikkerhetsfunksjoner basert på IP-adresser eller bruk av RDP for videre utnyttelse på systemer som virker interessante for angriperen, skriver Cisco.
Flere detaljer om Magnat-kampanjen finner du i Cisco Talos' tekniske gjennomgang.
Disse Google Play-appene stjeler bankdata – har flere hundre tusen nedlastninger