新的恶意宣传活动传播后门、恶意Chrome扩展

一系列恶意活动一直在利用Viber、微信、NoxPlayer、，以诱使用户下载一个新的后门和一个未经记录的恶意Google Chrome扩展，目的是窃取受损系统中存储的凭据和数据，并保持持久的远程访问。

Cisco Talos将恶意软件有效载荷归因于化名为“magnat”的未知参与者，并指出“这两个家族一直受到其作者的不断开发和改进。”

这些袭击被认为是在2018年底开始的，在2019年底和2020年初都有断断续续的活动，2021年4月以来出现了新的尖峰事件，主要是在加拿大挑选用户，其次是美国、澳大利亚、意大利、西班牙和挪威。

入侵的一个值得注意的方面是，利用恶意软件攻击正在搜索引擎上寻找流行软件的个人，向他们提供下载假冒安装程序的链接，这些安装程序会删除一个名为RedLine stealer的密码窃取程序，一个名为“MagnatExtension”的Chrome扩展，可以记录击键和截屏，以及一个基于AutoIt的后门，可以远程访问机器。

MagnatExtension, which masquerades as Google's Safe browsing, also packs other features that are of use to the attackers, including the ability to steal form data, harvest cookies, and execute arbitrary JavaScript code. Telemetry data analyzed by Talos has revealed that the first-ever sample of the browser add-on was detected in August 2018.

分机的指挥与控制（C2）通信也很突出。虽然C2地址是硬编码的，但它也可以由当前的C2使用附加C2域列表进行更新。但如果失败，它会求助于另一种方法，即通过Twitter搜索“aquamamba2019”或“ololo2019”等标签来获取新的C2地址

然后，通过连接每个单词的第一个字母，从附带的推文中构建域名，这意味着一条推文的内容是“潮湿多年后，潮湿的湍流区域终止活跃的圆形引擎。工业令人毛骨悚然的单位”，并包含标签“#aquamamba2019”被翻译为“stataready[。]重症监护室。"

一旦激活的命令和控制服务器可用，真空数据—；浏览器历史记录、cookie、表单数据、击键和屏幕截图—；在HTTP POST请求主体中以加密JSON字符串的形式进行过滤，加密密钥在解密函数中硬编码。反过来，加密密钥用服务器的公钥加密。

Cisco Talos研究员蒂亚戈·佩雷拉说：“根据密码窃取者和类似于银行特洛伊木马的Chrome扩展的使用情况，我们评估攻击者的目标是获取用户凭据，可能用于出售或用于进一步利用。”。

“部署RDP后门的动机尚不清楚。最有可能的是出售RDP访问、使用RDP绕过基于IP地址或其他端点安装工具的在线服务安全功能，或者使用RDP对攻击者感兴趣的系统进行进一步攻击。”