Malvertising kampányban terjesztett FakeBat rosszindulatú program

Új információk láttak napvilágot egy rosszindulatú hirdetési kampányról, amely a Google Ads szolgáltatást kihasználva a népszerű szoftvereket kereső felhasználókat koholt céloldalakra irányítja, és az azt követő rosszindulatú tartalmakat terjeszti.

A Malwarebytes, az entitás, amely feltárta ezt a tevékenységet, úgy jellemezte, mint "egyedülálló megközelítést a felhasználók azonosítására és az időérzékeny rakományok szállítására".

Ez a támadás kifejezetten azokat az egyéneket célozza meg, akik olyan szoftvereket keresnek, mint a Notepad++ és PDF konverterek. Hamisított hirdetéseket jelenít meg a Google keresési eredményoldalán, amelyre kattintva egy megtévesztő webhely megjelenítésével kiszűri az automatizált robotokat és a nem kívánt IP-címeket.

Ha a látogatót a fenyegető szereplő érdekli, átirányítják egy hamis webhelyre, amely a kívánt szoftvert reklámozza, miközben titkosan ujjlenyomatot vesz a rendszerből, hogy megállapítsa, a kérés egy virtuális géptől származik-e.

Azok a felhasználók, akik nem felelnek meg ezen az ellenőrzésen, átirányításra kerülnek a legitim Notepad++ webhelyre, míg a potenciális célpontokhoz külön azonosítót rendelnek mind a nyomon követés, mind annak biztosítása érdekében, hogy minden letöltés egyedi és időérzékeny legyen.

Az utolsó szakaszban lévő rosszindulatú program egy HTA hasznos adat formájában jelenik meg, kapcsolatot létesítve egy távoli domainnel, a "mybigeye[.]icu"-val egy egyéni porton, és további kártevőket terjeszt.

A FakeBat rosszindulatú kampánya kiválogatja áldozatait

Jerome Segura, a fenyegetések hírszerzési igazgatója kijelentette, hogy a fenyegetés szereplői hatékonyan alkalmaznak kijátszási technikákat a hirdetésellenőrzések megkerülésére, és bizonyos áldozattípusokra összpontosítanak.

Ez a feltárás egybeesik egy hasonló kampánnyal, amely a KeePass jelszókezelőt kereső felhasználókat célozza meg. Rosszindulatú hirdetéseket alkalmaz, hogy az áldozatokat egy domainre irányítsa a Punycode (keepass[.]info vs. ķeepass[.]info) segítségével, amely egy speciális kódolás, amely a Unicode karaktereket ASCII-vé alakítja.

Segura elmagyarázta, hogy a hirdetésre kattintó embereket egy álcázó szolgáltatáson keresztül irányítják át, amelyet úgy terveztek, hogy kizárják a tesztelési környezeteket, az automatizált robotokat és mindenkit, akit nem azonosítanak valódi áldozatként. Kifejtette továbbá, hogy a fenyegetés szereplői egy ideiglenes tartományt hoztak létre a keepasstacking[.]webhelyen, amely levezényli a feltételes átirányítást a végső célállomásra.

A megtévesztő webhelyre érkező egyéneket megtévesztik azzal, hogy letöltsenek egy rosszindulatú telepítőt, ami végül a FakeBat (más néven EugenLoader) végrehajtásához vezet, amely egy más rosszindulatú kód letöltésére tervezett betöltő.

A Punycode használata nem teljesen új, de a csalárd Google Ads-szel való kombinációja a keresőmotorokon keresztüli rosszindulatú hirdetések növekvő kifinomultságát jelzi. Ez a megközelítés arra használja fel a Punycode-ot, hogy a legális webhelyekhez hasonló domain neveket regisztráljon, hogy homográf támadásokat hajtson végre, és az áldozatokat rosszindulatú programok telepítésére csábítsa.