FakeBat Malware distribuert i Malvertising-kampanje

Ny informasjon har dukket opp om en malvertising-kampanje som utnytter Google Ads for å lede brukere som søker populær programvare til fabrikkerte landingssider og distribuere påfølgende skadelige nyttelaster.

Malwarebytes, enheten som avdekket denne aktiviteten, karakteriserte den som "unik i sin tilnærming til å identifisere brukere og levere tidssensitive nyttelaster."

Dette angrepet er spesifikt rettet mot personer som søker etter programvare som Notepad++ og PDF-konverterere. Den presenterer forfalskede annonser på Googles søkeresultatside, som ved å klikke filtrerer bort automatiserte roboter og utilsiktede IP-adresser ved å vise et villedende nettsted.

Hvis den besøkende anses å være av interesse for trusselaktøren, blir de omdirigert til et falskt nettsted som promoterer den ønskede programvaren mens de i skjult fingeravtrykk avgir systemet for å avgjøre om forespørselen stammer fra en virtuell maskin.

Brukere som mislykkes i denne kontrollen blir omdirigert til det legitime Notepad++-nettstedet, mens potensielle mål blir tildelt en distinkt identifikator for både sporingsformål og for å sikre at hver nedlasting er unik og tidssensitiv.

Skadevare i siste fase har form av en HTA-nyttelast, som etablerer en forbindelse med et eksternt domene, "mybigeye[.]icu," på en tilpasset port, og distribuerer ytterligere skadelig programvare.

FakeBat Malicious Campaign velger sine ofre

Jerome Segura, direktør for trusseletterretning, uttalte at trusselaktører effektivt bruker unndragelsesteknikker for å omgå annonseverifiseringskontroller og fokusere på spesifikke offertyper.

Denne avsløringen faller sammen med en lignende kampanje rettet mot brukere som søker etter KeePass passordbehandling. Den bruker ondsinnede annonser for å lede ofre til et domene ved å bruke Punycode (keepass[.]info vs. ķeepass[.]info), en spesiell koding som konverterer Unicode-tegn til ASCII.

Segura forklarte at folk som klikker på annonsen vil bli omdirigert gjennom en cloaking-tjeneste designet for å ekskludere testmiljøer, automatiserte roboter og alle som ikke er identifisert som et ekte offer. Han forklarte videre at trusselaktørene har satt opp et midlertidig domene på keepassstacking[.]site som orkestrerer den betingede omdirigeringen til den endelige destinasjonen.

Enkeltpersoner som lander på det villedende nettstedet blir lurt til å laste ned et ondsinnet installasjonsprogram, noe som til slutt fører til utførelse av FakeBat (også kjent som EugenLoader), en laster designet for å laste ned annen ondsinnet kode.

Bruken av Punycode er ikke helt ny, men kombinasjonen med uredelig Google Ads signaliserer en økende sofistikering innen malvertising via søkemotorer. Denne tilnærmingen utnytter Punycode til å registrere domenenavn som ligner på legitime nettsteder, med sikte på å utføre homografiske angrep og lokke ofre til å installere skadelig programvare.