Bezpečnostní odborníci Cisco Talos zaznamenali malwarovou kampaň, která se snaží nalákat uživatele ke spuštění falešných instalačních programů oblíbeného softwaru. Za útokem podle Cisco Talos pravděpodobně stojí hacker s přezdívkou „magnat“. Magnat je podle telemetrie Cisco Talos aktivní minimálně od roku 2018, přerušovaně pak působil v letech 2019 a 2020, aby se naplno vrátil právě letos.
Útok je zaměřen na uživatele, kteří na internetu hledají ke stažení software k instalaci do svých systémů. Výzkumníci mají podezření, že útočník pro svoji akci připravil nevinně se tvářící reklamní kampaň, která obsahuje odkazy na webovou stránku nabízející stažení instalátoru softwaru.
Po instalaci spustí instalační program v systému škodlivý zavaděč. Inzertní kampaň cílila především na uživatele v USA, Kanadě, Španělsku, Austrálii, Norsku a Itálii, ale oběti měla i v nedalekém Maďarsku. V Česku a na Slovensku zatím žádná napadení registrována nejsou.
Jakmile se spustí falešné instalátory, umístí v systému oběti tři části malwaru:
- Zloděj hesel, který shromažďuje všechna hesla dostupná v systému.
- „Zadní vrátka“, která nastavují vzdálený přístup k systémům, i když jsou za firewallem.
- MagnatExtension, instalátor rozšíření pro Chrome s funkcemi pro krádež dat z prohlížeče.
Výzkumníci Cisco Talos se domnívají, že cílem útočníka je krádež přihlašovacích údajů uživatele, jejich následný prodej nebo použití v budoucím dalším útoku.