Le logiciel malveillant FakeBat distribué dans le cadre d'une campagne de publicité malveillante

De nouvelles informations sont apparues concernant une campagne de publicité malveillante qui exploite Google Ads pour diriger les utilisateurs à la recherche de logiciels populaires vers des pages de destination fabriquées et distribuer des charges utiles malveillantes ultérieures.

Malwarebytes, l'entité qui a découvert cette activité, l'a qualifiée de « unique dans son approche de l'identification des utilisateurs et de la fourniture de charges utiles urgentes ».

Cette attaque cible spécifiquement les personnes recherchant des logiciels tels que Notepad++ et les convertisseurs PDF. Il présente des publicités contrefaites sur la page de résultats de recherche Google, qui, lors d'un clic, filtre les robots automatisés et les adresses IP involontaires en affichant un site trompeur.

Si le visiteur est considéré comme intéressant pour l'acteur malveillant, il est redirigé vers un faux site Web faisant la promotion du logiciel souhaité tout en prenant secrètement les empreintes digitales du système pour déterminer si la demande provient d'une machine virtuelle.

Les utilisateurs qui échouent à cette vérification sont redirigés vers le site Web légitime Notepad++, tandis que les cibles potentielles se voient attribuer un identifiant distinct à la fois à des fins de suivi et pour garantir que chaque téléchargement est unique et urgent.

Le malware de la dernière étape prend la forme d'une charge utile HTA, établissant une connexion avec un domaine distant, « mybigeye[.]icu », sur un port personnalisé, et distribuant d'autres malwares.

La campagne malveillante FakeBat choisit ses victimes

Jérôme Segura, directeur du renseignement sur les menaces, a déclaré que les acteurs de la menace utilisent efficacement des techniques d'évasion pour contourner les contrôles de vérification des publicités et se concentrer sur des types de victimes spécifiques.

Cette révélation coïncide avec une campagne similaire ciblant les utilisateurs recherchant le gestionnaire de mots de passe KeePass. Il utilise des publicités malveillantes pour diriger les victimes vers un domaine à l'aide de Punycode (keepass[.]info vs. ķeepass[.]info), un codage spécial qui convertit les caractères Unicode en ASCII.

Segura a expliqué que les personnes qui cliquent sur l'annonce seront redirigées vers un service de masquage conçu pour exclure les environnements de test, les robots automatisés et toute personne non identifiée comme une véritable victime. Il a en outre expliqué que les auteurs de la menace ont créé un domaine temporaire sur le site keepastacking[.]qui orchestre la redirection conditionnelle vers la destination finale.

Les individus qui atterrissent sur le site trompeur sont amenés à télécharger un programme d'installation malveillant, ce qui conduit finalement à l'exécution de FakeBat (également connu sous le nom d'EugenLoader), un chargeur conçu pour télécharger d'autres codes malveillants.

L'utilisation de Punycode n'est pas entièrement nouvelle, mais sa combinaison avec des publicités Google frauduleuses témoigne d'une sophistication croissante de la publicité malveillante via les moteurs de recherche. Cette approche exploite Punycode pour enregistrer des noms de domaine similaires à des sites légitimes, dans le but d'exécuter des attaques homographes et d'inciter les victimes à installer des logiciels malveillants.