Κακόβουλο λογισμικό FakeBat που διανέμεται στην καμπάνια Malvertising

Έχουν εμφανιστεί νέες πληροφορίες σχετικά με μια καμπάνια κακόβουλης διαφήμισης που εκμεταλλεύεται το Google Ads για να κατευθύνει χρήστες που αναζητούν δημοφιλές λογισμικό σε κατασκευασμένες σελίδες προορισμού και να διανέμουν επακόλουθα κακόβουλα ωφέλιμα φορτία.

Η Malwarebytes, η οντότητα που αποκάλυψε αυτή τη δραστηριότητα, τη χαρακτήρισε ως «μοναδική ως προς την προσέγγισή της στον εντοπισμό χρηστών και την παράδοση ωφέλιμων φορτίων που είναι ευαίσθητα στο χρόνο».

Αυτή η επίθεση στοχεύει συγκεκριμένα άτομα που αναζητούν λογισμικό όπως το Notepad++ και οι μετατροπείς PDF. Παρουσιάζει πλαστές διαφημίσεις στη σελίδα αποτελεσμάτων αναζήτησης Google, οι οποίες, κάνοντας κλικ, φιλτράρουν αυτοματοποιημένα ρομπότ και ακούσιες διευθύνσεις IP, εμφανίζοντας έναν παραπλανητικό ιστότοπο.

Εάν ο επισκέπτης θεωρείται ότι ενδιαφέρει τον παράγοντα απειλής, αναδρομολογείται σε έναν ψεύτικο ιστότοπο που προωθεί το επιθυμητό λογισμικό, ενώ ταυτόχρονα λαμβάνει κρυφά δακτυλικά αποτυπώματα στο σύστημα για να προσδιορίσει εάν το αίτημα προέρχεται από μια εικονική μηχανή.

Οι χρήστες που αποτυγχάνουν σε αυτόν τον έλεγχο ανακατευθύνονται στον νόμιμο ιστότοπο του Notepad++, ενώ στους πιθανούς στόχους εκχωρείται ένα ξεχωριστό αναγνωριστικό και για τους σκοπούς παρακολούθησης και για να διασφαλιστεί ότι κάθε λήψη είναι μοναδική και χρονικά ευαίσθητη.

Το κακόβουλο λογισμικό τελικού σταδίου έχει τη μορφή ωφέλιμου φορτίου HTA, που δημιουργεί μια σύνδεση με έναν απομακρυσμένο τομέα, "mybigeye[.]icu", σε μια προσαρμοσμένη θύρα και διανέμει περαιτέρω κακόβουλο λογισμικό.

Η Κακόβουλη καμπάνια FakeBat επιλέγει τα θύματά της

Ο Jerome Segura, ο διευθυντής πληροφοριών για τις απειλές, δήλωσε ότι οι φορείς απειλών χρησιμοποιούν αποτελεσματικά τεχνικές αποφυγής για να παρακάμψουν τους ελέγχους επαλήθευσης διαφημίσεων και να επικεντρωθούν σε συγκεκριμένους τύπους θυμάτων.

Αυτή η αποκάλυψη συμπίπτει με μια παρόμοια καμπάνια που στοχεύει χρήστες που αναζητούν τον διαχειριστή κωδικών πρόσβασης KeePass. Χρησιμοποιεί κακόβουλες διαφημίσεις για να κατευθύνει τα θύματα σε έναν τομέα χρησιμοποιώντας Punycode (keepass[.]info vs. ķeepass[.]info), μια ειδική κωδικοποίηση που μετατρέπει χαρακτήρες Unicode σε ASCII.

Η Segura εξήγησε ότι τα άτομα που κάνουν κλικ στη διαφήμιση θα αναδρομολογηθούν μέσω μιας υπηρεσίας cloaking που έχει σχεδιαστεί για να αποκλείει περιβάλλοντα δοκιμών, αυτοματοποιημένα bots και οποιονδήποτε δεν προσδιορίζεται ως γνήσιο θύμα. Εξήγησε περαιτέρω ότι οι φορείς της απειλής έχουν δημιουργήσει έναν προσωρινό τομέα στον ιστότοπο keepasstacking[.] που ενορχηστρώνει την υπό όρους ανακατεύθυνση προς τον τελικό προορισμό.

Τα άτομα που προσγειώνονται στον παραπλανητικό ιστότοπο εξαπατώνται και κατεβάζουν ένα κακόβουλο πρόγραμμα εγκατάστασης, οδηγώντας τελικά στην εκτέλεση του FakeBat (γνωστό και ως EugenLoader), ενός φορτωτή που έχει σχεδιαστεί για τη λήψη άλλου κακόβουλου κώδικα.

Η χρήση του Punycode δεν είναι εντελώς νέα, αλλά ο συνδυασμός του με το δόλιο Google Ads σηματοδοτεί μια αυξανόμενη πολυπλοκότητα στην κακόβουλη διαφήμιση μέσω των μηχανών αναζήτησης. Αυτή η προσέγγιση αξιοποιεί το Punycode για την καταχώριση ονομάτων τομέα παρόμοια με νόμιμες τοποθεσίες, με στόχο την εκτέλεση επιθέσεων με ομόγραφα και την παρακίνηση των θυμάτων να εγκαταστήσουν κακόβουλο λογισμικό.