FakeBat-Malware im Rahmen einer Malvertising-Kampagne verbreitet

Es sind neue Informationen über eine Malvertising-Kampagne aufgetaucht, die Google Ads nutzt, um Nutzer, die nach beliebter Software suchen, auf gefälschte Landingpages zu leiten und anschließend bösartige Payloads zu verbreiten.

Malwarebytes, das Unternehmen, das diese Aktivität aufgedeckt hat, bezeichnete sie als „einzigartig in ihrem Ansatz zur Identifizierung von Benutzern und zur Bereitstellung zeitkritischer Nutzlasten“.

Dieser Angriff zielt speziell auf Personen ab, die nach Software wie Notepad++ und PDF-Konvertern suchen. Es präsentiert gefälschte Werbung auf der Google-Suchergebnisseite, die beim Klicken automatisierte Bots und unbeabsichtigte IP-Adressen herausfiltert, indem eine betrügerische Website angezeigt wird.

Wenn der Besucher davon ausgeht, dass er für den Bedrohungsakteur von Interesse ist, wird er auf eine gefälschte Website weitergeleitet, auf der die gewünschte Software beworben wird, während gleichzeitig heimlich ein Fingerabdruck des Systems erfasst wird, um festzustellen, ob die Anfrage von einer virtuellen Maschine stammt.

Benutzer, die diese Prüfung nicht bestehen, werden zur legitimen Notepad++-Website weitergeleitet, während potenziellen Zielen eine eindeutige Kennung zugewiesen wird, sowohl zu Nachverfolgungszwecken als auch um sicherzustellen, dass jeder Download einzigartig und zeitkritisch ist.

Die Malware der letzten Stufe nimmt die Form einer HTA-Nutzlast an, die eine Verbindung mit einer Remotedomäne, „mybigeye[.]icu“, auf einem benutzerdefinierten Port herstellt und weitere Malware verteilt.

Die böswillige FakeBat-Kampagne sucht sich ihre Opfer aus

Jerome Segura, Direktor für Bedrohungsaufklärung, erklärte, dass Bedrohungsakteure effektiv Umgehungstechniken einsetzen, um Anzeigenüberprüfungen zu umgehen und sich auf bestimmte Opfertypen zu konzentrieren.

Diese Enthüllung fällt mit einer ähnlichen Kampagne zusammen, die sich an Benutzer richtet, die nach dem KeePass-Passwort-Manager suchen. Es nutzt bösartige Werbung, um Opfer mithilfe von Punycode (keepass[.]info vs. ķeepass[.]info), einer speziellen Kodierung, die Unicode-Zeichen in ASCII umwandelt, auf eine Domain zu leiten.

Segura erklärte, dass Personen, die auf die Anzeige klicken, über einen Cloaking-Dienst umgeleitet werden, der Testumgebungen, automatisierte Bots und alle Personen, die nicht als echte Opfer identifiziert werden, ausschließen soll. Er erklärte weiter, dass die Bedrohungsakteure eine temporäre Domäne auf der Website keepasstacking[.] eingerichtet haben, die die bedingte Weiterleitung zum endgültigen Ziel orchestriert.

Personen, die auf der betrügerischen Website landen, werden dazu verleitet, ein bösartiges Installationsprogramm herunterzuladen, was letztendlich zur Ausführung von FakeBat (auch bekannt als EugenLoader) führt, einem Loader, der anderen Schadcode herunterladen soll.

Der Einsatz von Punycode ist nicht ganz neu, aber seine Kombination mit betrügerischen Google Ads signalisiert eine zunehmende Raffinesse beim Malvertising über Suchmaschinen. Dieser Ansatz nutzt Punycode, um Domänennamen zu registrieren, die legitimen Websites ähneln, mit dem Ziel, Homograph-Angriffe auszuführen und Opfer zur Installation von Malware zu verleiten.