„FakeBat“ kenkėjiška programa, platinama kenkėjiškos reklamos kampanijoje

Pasirodė naujos informacijos apie kenkėjišką reklamavimo kampaniją, kuri išnaudoja „Google Ads“, kad nukreiptų naudotojus, ieškančius populiarios programinės įrangos, į sukurtus nukreipimo puslapius ir platintų vėlesnius kenksmingus krovinius.

Šią veiklą atskleidęs subjektas „Malwarebytes“ apibūdino ją kaip „unikalią vartotojų identifikavimo ir laiko atžvilgiu svarbių krovinių teikimo metodą“.

Ši ataka konkrečiai nukreipta į asmenis, ieškančius programinės įrangos, tokios kaip Notepad++ ir PDF keitikliai. „Google“ paieškos rezultatų puslapyje pateikiama suklastota reklama, kurią spustelėjus, išfiltruojami automatiniai robotai ir nenumatyti IP adresai, rodoma apgaulinga svetainė.

Jei manoma, kad lankytojas domina grėsmės veikėją, jis nukreipiamas į netikrą svetainę, kurioje reklamuojama norima programinė įranga, kartu slapta paimant sistemos pirštų atspaudus, kad nustatytų, ar užklausa kilo iš virtualios mašinos.

Naudotojai, kuriems nepavyko atlikti šios patikros, nukreipiami į teisėtą „Notepad++“ svetainę, o potencialiems tikslams priskiriamas atskiras identifikatorius tiek stebėjimo tikslais, tiek siekiant užtikrinti, kad kiekvienas atsisiuntimas būtų unikalus ir priklausomas nuo laiko.

Paskutinio etapo kenkėjiška programa yra HTA naudingoji apkrova, kuri užmezga ryšį su nuotoliniu domenu „mybigeye[.]icu“ tinkintame prievade ir platina tolesnę kenkėjišką programą.

Kenkėjiška „FakeBat“ kampanija renkasi savo aukas

Grėsmių žvalgybos direktorius Jerome'as Segura pareiškė, kad grėsmės veikėjai veiksmingai taiko vengimo būdus, kad išvengtų skelbimų tikrinimo ir sutelktų dėmesį į konkrečias aukų rūšis.

Šis apreiškimas sutampa su panašia kampanija, skirta vartotojams, ieškantiems „KeePass“ slaptažodžių tvarkyklės. Jame naudojami kenkėjiški skelbimai, siekiant nukreipti aukas į domeną, naudojant Punycode (keepass[.]info vs. ķeepass[.]info), specialią kodavimą, kuris paverčia Unicode simbolius į ASCII.

Segura paaiškino, kad žmonės, spustelėję skelbimą, bus nukreipti per maskavimo paslaugą, skirtą testavimo aplinkoms, automatiniams robotams ir visiems, kurie nėra identifikuoti kaip tikroji auka. Jis taip pat paaiškino, kad grėsmės subjektai sukūrė laikiną domeną „Keepasstacking“[.] svetainėje, kuri organizuoja sąlyginį peradresavimą į galutinę paskirties vietą.

Asmenys, patekę į apgaulingą svetainę, yra apgaudinėjami atsisiunčiant kenkėjišką diegimo programą, dėl kurios galiausiai paleidžiama FakeBat (taip pat žinomas kaip EugenLoader), įkroviklis, skirtas kitam kenkėjiškam kodui atsisiųsti.

„Punycode“ naudojimas nėra visiškai naujas, tačiau jo derinys su apgaulinga „Google Ads“ rodo vis sudėtingesnį piktnaudžiavimą paieškos varikliais. Šis metodas naudoja „Punycode“ domenų vardų, panašių į teisėtas svetaines, registravimą, siekiant vykdyti homografines atakas ir privilioti aukas įdiegti kenkėjiškas programas.