Sigurnosni istraživači Cisco Talos su otkrili kampanju širenja zlonamjernog softvera korištenjem reklamnog sadržaja. Korisnici na Internetu vjerovatno tražeći regularan softver, budu preko reklamnog sadržaja upućeni na zlonamjerni sadržaj. Neke od popularnih aplikacija koje zloupotrebljavaju u ovom napadu su aplikacije za dopisivanje Viber i WeChat, kao i instalacija za video igru Battlefield. Korisnici tražeći ove aplikacije, budu preko reklamnog sadržaja usmjereni na stranice gdje preuzmu lažne instalacije za navedeni softver. Zlonamjerna kampanja je dobila ime Magnat.
Kada korisnici pokrenu instalaciju, ne dolazi do instalacije navedenog softvera, već se pokreće instalacija softvera za krađu lozinki, backdoor softvera i zlonamjernog dodatka za Internet pretraživač Google Chrome. Softver za krađu lozinki je poznat pod nazivom Redline i to je sasvim običan zlonamjerni softver koji krade korisnička imena i lozinke koje nađe na zaraženom sistemu. Backdoor softver, kojeg su sigurnosni istraživači nazvali MagnatBackdoor, na Windows operativnom sistemu tajno konfiguriše remote desktop protocol (RDP) pristup, dodaje novog korisnika i omogućava redovno javljanje serveru pod kontrolom napadača. Na ovaj način napadač dobija pristup uređaju preko RDP konekcije. Google Chrome zlonamjerni dodatk, nazvan MagnatExtension, omogućava napadaču krađu podataka direktno iz Internet pretraživača: mogućnost snimanja ekrana, krađe kolačića (cookies), krađe unesenih podatka u obrasce za prijavu, kao i funkcionalnost keylogger-a koji snima sve što korisnik ukuca u pretraživač. Dodatak se ne nalazi u Chrome prodavnici, već ga isporučuje napadač.
Prema navodima sigurnosnih istraživača, cilj ove kampanje je iskorištavanje prikupljenih podataka od strane napadača ili njihova prodaja na Mračnom Internetu. Kampanja Magnat je prisutna od 2018. godine u određenom intenzitetu i vidljiv je konstantan razvoj i napredak od strane napadača. Primjera radi, softvera za krađu lozinki Azorult je 2020. godine u februaru zamijenjen sa softverom Redline pošto je ažuriranje Google Chrome verzija 80 poremetilo njegovo funkcionisanje. Tokom godina, vidljiva su i unapređenja na MagnatBackdoor i MagnatExtension, pa je vrlo vjerovatno da će se to i nastaviti. Ovakva vrsta sigurnosne prijetnje zahtjeva dobru antivirusnu zaštitu, filtriranje mrežnog sadržaja i budnost samih korisnika.
