FakeBat Malware distribueret i Malvertising-kampagne

Ny information er dukket op om en malvertising-kampagne, der udnytter Google Ads til at dirigere brugere, der søger populær software, til fremstillede landingssider og distribuere efterfølgende ondsindede nyttelaster.

Malwarebytes, den enhed, der afslørede denne aktivitet, karakteriserede den som "unik i sin tilgang til at identificere brugere og levere tidsfølsomme nyttelaster."

Dette angreb retter sig specifikt mod personer, der søger efter software såsom Notepad++ og PDF-konvertere. Den præsenterer forfalskede annoncer på Googles søgeresultatside, som ved at klikke filtrerer automatiske bots og utilsigtede IP-adresser fra ved at vise et vildledende websted.

Hvis den besøgende anses for at være af interesse for trusselsaktøren, bliver de omdirigeret til et falsk websted, der promoverer den ønskede software, mens de i skjult fingeraftryk afgiver systemet for at afgøre, om anmodningen stammer fra en virtuel maskine.

Brugere, der fejler denne kontrol, omdirigeres til det legitime Notepad++-websted, mens potentielle mål tildeles en særskilt identifikator til både sporingsformål og for at sikre, at hver download er unik og tidsfølsom.

Malware i sidste fase har form af en HTA-nyttelast, der etablerer en forbindelse med et eksternt domæne, "mybigeye[.]icu," på en tilpasset port og distribuerer yderligere malware.

FakeBat Malicious Campaign udvælger sine ofre

Jerome Segura, direktøren for trusselsefterretninger, udtalte, at trusselsaktører effektivt anvender unddragelsesteknikker for at omgå kontrol af annoncebekræftelse og fokusere på specifikke ofretyper.

Denne afsløring falder sammen med en lignende kampagne målrettet mod brugere, der søger efter KeePass-adgangskodemanageren. Den anvender ondsindede annoncer til at dirigere ofre til et domæne ved hjælp af Punycode (keepass[.]info vs. ķeepass[.]info), en speciel kodning, der konverterer Unicode-tegn til ASCII.

Segura forklarede, at folk, der klikker på annoncen, vil blive omdirigeret gennem en cloaking-tjeneste, der er designet til at udelukke testmiljøer, automatiserede bots og alle, der ikke er identificeret som et ægte offer. Han forklarede yderligere, at trusselsaktørerne har oprettet et midlertidigt domæne på keepassstacking[.]site, der orkestrerer den betingede omdirigering til den endelige destination.

Personer, der lander på det vildledende websted, bliver snydt til at downloade et ondsindet installationsprogram, hvilket i sidste ende fører til udførelsen af FakeBat (også kendt som EugenLoader), en loader designet til at downloade anden ondsindet kode.

Brugen af Punycode er ikke helt ny, men dens kombination med svigagtige Google Ads signalerer en voksende sofistikering i malvertising via søgemaskiner. Denne tilgang udnytter Punycode til at registrere domænenavne, der ligner legitime websteder, med det formål at udføre homografiske angreb og lokke ofre til at installere malware.