マルバタイジングキャンペーンで配布された FakeBat マルウェア

Google 広告を悪用して、人気のあるソフトウェアを求めるユーザーを捏造されたランディング ページに誘導し、その後の悪意のあるペイロードを配布するマルバタイジング キャンペーンに関する新しい情報が明らかになりました。

この活動を発見した組織である Malwarebytes は、この活動を「ユーザーを特定し、時間に敏感なペイロードを配信するというアプローチがユニーク」であると特徴付けました。

この攻撃は、Notepad++ や PDF コンバーターなどのソフトウェアを検索している個人を特にターゲットにしています。 Google の検索結果ページに偽の広告を表示し、クリックすると、自動ボットや意図しない IP アドレスが除外され、偽のサイトが表示されます。

訪問者が脅威アクターにとって興味があるとみなされる場合、その訪問者は目的のソフトウェアを宣伝する偽の Web サイトに再ルーティングされ、その一方で密かにシステムのフィンガープリントを採取してリクエストが仮想マシンからのものであるかどうかを判断します。

このチェックに失敗したユーザーは正規の Notepad++ Web サイトにリダイレクトされますが、潜在的なターゲットには追跡目的と各ダウンロードが一意で時間制限があることを保証するために個別の識別子が割り当てられます。

最終段階のマルウェアは HTA ペイロードの形式をとり、カスタム ポート上でリモート ドメイン「mybigeye[.]icu」との接続を確立し、さらなるマルウェアを配布します。

FakeBat の悪意のあるキャンペーンが犠牲者を選ぶ

脅威インテリジェンス担当ディレクターのジェローム・セグラ氏は、攻撃者は広告検証チェックを回避し、特定の種類の被害者に焦点を当てるために回避技術を効果的に利用していると述べた。

この暴露は、KeePass パスワード マネージャーを検索しているユーザーをターゲットにした同様のキャンペーンと同時に行われました。 Unicode 文字を ASCII に変換する特別なエンコーディングである Punycode (keepass[.]info 対 ķeepass[.]info) を使用して被害者をドメインに誘導する悪意のある広告を使用します。

セグラ氏は、広告をクリックした人は、テスト環境や自動ボット、真の被害者として識別されない人を排除するように設計されたクローキングサービスを通じて再ルーティングされると説明した。同氏はさらに、攻撃者が最終宛先への条件付きリダイレクトを調整する一時ドメインを keepasstacking[.] サイトに設定していると説明しました。

欺瞞的なサイトにアクセスした個人は、だまされて悪意のあるインストーラーをダウンロードさせられ、最終的には他の悪意のあるコードをダウンロードするように設計されたローダーである FakeBat (EugenLoader としても知られる) の実行につながります。

Punycode の使用はまったく新しいものではありませんが、不正な Google 広告との組み合わせは、検索エンジンを介したマルバタイジングがますます巧妙化していることを示しています。このアプローチは、Punycode を利用して正規のサイトに似たドメイン名を登録し、ホモグラフ攻撃を実行し、被害者をマルウェアのインストールに誘導することを目的としています。