Uma série de campanhas maliciosas vem utilizando instaladores falsos de apps e games populares como Viber, WeChat, NoxPlayer e Battlefield como uma isca para levar usuários a baixarem um novo backdoor e uma extensão maliciosa do Google Chrome.
Com isso, o objetivo dos hackers é roubar credenciais de acesso e dados armazenados nos sistemas comprometidos, assim como manter um acesso remoto duradouro.
A organização de inteligência em ciberameaças Cisco Talos atribuiu o malware a um cibercriminoso desconhecido que atende pelo pseudônimo de “magnat”, destacando que o ataque malicioso foi submetido a “desenvolvimento e melhorias constantes por seus autores”.
Acredita-se que os ataques começaram no final de 2018, com atividade intermitente observada no fim de 2019 e no início de 2020, seguida por novos picos desde abril de 2021. Os usuários visados estão principalmente no Canadá, EUA, Austrália, Itália, Espanha e Noruega, respectivamente.
Um aspecto notável das intrusões é o uso de malvertising (anúncios publicitários que espalham malware) como um meio de atingir indivíduos que estão buscando softwares populares em motores de busca.
A partir daí, os hackers podem introduzir links para o download de falsos instaladores que entregam um ladrão de senhas chamado “RedLine Stealer”, uma extensão do Chrome apelidada de “MagnatExtension” que é programada para registrar batidas no teclado e capturar screenshots. Além disso, também instala um backdoor que estabelece acesso remoto à máquina.
FONTE/LEIA MAIS: The Hacker News
