据Security Affairs消息，思科Talos安全专家近日发现了一系列的恶意广告活动，攻击者以热门应用和游戏的虚假安装程序为诱饵，引导用户下载恶意Chrome扩展程序和新的恶意软件后门。
 
据思科Talos安全专家称，攻击者自2018年底开始活跃，此后在2019年底和2020年初进行间歇性活动。2021年4月，该威胁组织重出江湖，在加拿大、美国、澳大利亚、意大利、西班牙和挪威广泛开展恶意广告活动，大肆传播恶意软件和拓展程序。
思科Talos安全专家继续追踪后发现，这些虚假广告活动是由一个名为“magnat”的未知威胁组织发布的，同时他们还发现，该组织正在更新一系列的恶意软件。
 
例如，MagnatExtension可以伪装成 Google Chrome扩展程序，magnat可以通过该拓展程序窃取表单数据、收集cookie并在受害者的系统上执行任意JavaScript代码。
 
再比如，攻击者还为C2实施了一种备份机制，可以从Twitter上直接搜索“#aquamamba2019”或“#ololo2019”等主题标签中获取新的C2地址。从推文中获取域的算法既简单又有效，只需要将推文内容的每个单词的第一个字母连接起来。一旦有活动的C2可用，数据就会在 HTTP POST 请求的正文中以json格式发送。