FakeBat-malware verspreid in malvertisingcampagne
Er is nieuwe informatie opgedoken over een malvertisingcampagne die misbruik maakt van Google Ads om gebruikers die op zoek zijn naar populaire software naar verzonnen landingspagina's te leiden en vervolgens kwaadaardige ladingen te verspreiden.
Malwarebytes, de entiteit die deze activiteit aan het licht bracht, typeerde het als "uniek in zijn benadering van het identificeren van gebruikers en het leveren van tijdgevoelige payloads."
Deze aanval is specifiek gericht op personen die zoeken naar software zoals Notepad++ en PDF-converters. Het presenteert valse advertenties op de zoekresultatenpagina van Google, die bij het klikken geautomatiseerde bots en onbedoelde IP-adressen eruit filteren door een misleidende site weer te geven.
Als de bezoeker van belang wordt geacht voor de bedreigingsacteur, wordt hij omgeleid naar een nepwebsite die de gewenste software promoot, terwijl hij heimelijk een vingerafdruk van het systeem maakt om te bepalen of het verzoek afkomstig is van een virtuele machine.
Gebruikers die deze controle niet doorstaan, worden doorgestuurd naar de legitieme Notepad++-website, terwijl potentiële doelwitten een aparte identificatie toegewezen krijgen voor zowel trackingdoeleinden als om ervoor te zorgen dat elke download uniek en tijdgevoelig is.
De malware in de laatste fase neemt de vorm aan van een HTA-payload, die een verbinding tot stand brengt met een extern domein, "mybigeye[.]icu", op een aangepaste poort, en verdere malware verspreidt.
FakeBat Malicious Campaign kiest zijn slachtoffers
Jerome Segura, de directeur van Threat Intelligence, verklaarde dat bedreigingsactoren effectief ontwijkingstechnieken gebruiken om advertentieverificatiecontroles te omzeilen en zich op specifieke typen slachtoffers te concentreren.
Deze onthulling valt samen met een soortgelijke campagne gericht op gebruikers die zoeken naar de KeePass-wachtwoordbeheerder. Het maakt gebruik van kwaadaardige advertenties om slachtoffers naar een domein te leiden met behulp van Punycode (keepass[.]info vs. ķeepass[.]info), een speciale codering die Unicode-tekens omzet naar ASCII.
Segura legde uit dat mensen die op de advertentie klikken, worden omgeleid via een cloaking-service die is ontworpen om testomgevingen, geautomatiseerde bots en iedereen die niet als echt slachtoffer wordt geïdentificeerd, uit te sluiten. Hij legde verder uit dat de bedreigingsactoren een tijdelijk domein hebben opgezet op de keepasstacking[.]site dat de voorwaardelijke omleiding naar de eindbestemming orkestreert.
Individuen die op de misleidende site terechtkomen, worden misleid om een kwaadaardig installatieprogramma te downloaden, wat uiteindelijk leidt tot de uitvoering van FakeBat (ook bekend als EugenLoader), een lader die is ontworpen om andere kwaadaardige code te downloaden.
Het gebruik van Punycode is niet geheel nieuw, maar de combinatie ervan met frauduleuze Google Ads duidt op een toenemende verfijning in malvertising via zoekmachines. Deze aanpak maakt gebruik van Punycode om domeinnamen te registreren die lijken op legitieme sites, met als doel homograafaanvallen uit te voeren en slachtoffers te verleiden malware te installeren.
