Malware FakeBat distribuito nella campagna di malvertising

Sono emerse nuove informazioni su una campagna di malvertising che sfrutta Google Ads per indirizzare gli utenti che cercano software popolare verso pagine di destinazione fabbricate e distribuire successivi payload dannosi.

Malwarebytes, l'entità che ha scoperto questa attività, l'ha definita "unica nel suo approccio all'identificazione degli utenti e alla fornitura di payload sensibili al fattore tempo".

Questo attacco prende di mira specificamente le persone che cercano software come Notepad++ e convertitori PDF. Presenta annunci contraffatti nella pagina dei risultati di ricerca di Google che, facendo clic, filtra i bot automatizzati e gli indirizzi IP non desiderati visualizzando un sito ingannevole.

Se il visitatore è considerato di interesse per l'autore della minaccia, viene reindirizzato a un sito Web falso che promuove il software desiderato mentre rileva segretamente le impronte digitali del sistema per determinare se la richiesta proviene da una macchina virtuale.

Gli utenti che non superano questo controllo vengono reindirizzati al sito Web legittimo di Notepad++, mentre ai potenziali obiettivi viene assegnato un identificatore distinto sia per scopi di monitoraggio sia per garantire che ogni download sia univoco e sensibile al tempo.

Il malware nella fase finale assume la forma di un payload HTA, che stabilisce una connessione con un dominio remoto, "mybigeye[.]icu," su una porta personalizzata e distribuisce ulteriore malware.

La campagna dannosa FakeBat sceglie le sue vittime

Jerome Segura, direttore dell'intelligence sulle minacce, ha affermato che gli autori delle minacce stanno effettivamente impiegando tecniche di evasione per eludere i controlli di verifica degli annunci e concentrarsi su specifici tipi di vittime.

Questa rivelazione coincide con una campagna simile rivolta agli utenti che cercano il gestore di password KeePass. Utilizza annunci dannosi per indirizzare le vittime a un dominio utilizzando Punycode (keepass[.]info vs. ķeepass[.]info), una codifica speciale che converte i caratteri Unicode in ASCII.

Segura ha spiegato che le persone che fanno clic sull'annuncio verranno reindirizzate attraverso un servizio di cloaking progettato per escludere ambienti di test, bot automatizzati e chiunque non venga identificato come una vera vittima. Ha inoltre spiegato che gli autori della minaccia hanno creato un dominio temporaneo sul sito keepasstacking[.] che orchestra il reindirizzamento condizionale alla destinazione finale.

Gli individui che arrivano sul sito ingannevole vengono indotti con l'inganno a scaricare un programma di installazione dannoso, portando infine all'esecuzione di FakeBat (noto anche come EugenLoader), un caricatore progettato per scaricare altro codice dannoso.

L'uso di Punycode non è del tutto nuovo, ma la sua combinazione con Google Ads fraudolenti segnala una crescente sofisticazione nel malvertising tramite i motori di ricerca. Questo approccio sfrutta Punycode per registrare nomi di dominio simili a siti legittimi, con l'obiettivo di eseguire attacchi omografi e invogliare le vittime a installare malware.