Złośliwe oprogramowanie FakeBat rozpowszechniane w ramach kampanii złośliwych

Pojawiły się nowe informacje dotyczące kampanii złośliwej reklamy wykorzystującej Google Ads do kierowania użytkowników poszukujących popularnego oprogramowania na sfabrykowane strony docelowe i rozpowszechniania kolejnych szkodliwych ładunków.

Malwarebytes, podmiot, który odkrył tę aktywność, określił ją jako „wyjątkową w swoim podejściu do identyfikacji użytkowników i dostarczania ładunków wrażliwych na czas”.

Celem tego ataku są w szczególności osoby szukające oprogramowania takiego jak Notepad++ i konwertery plików PDF. Prezentuje fałszywe reklamy na stronie wyników wyszukiwania Google, które po kliknięciu odfiltrowują automatyczne boty i niezamierzone adresy IP, wyświetlając zwodniczą witrynę.

Jeśli użytkownik zostanie uznany za interesującego dla cyberprzestępcy, zostanie przekierowany na fałszywą witrynę internetową promującą pożądane oprogramowanie, po czym w tajemnicy pobiera odcisk palca z systemu w celu ustalenia, czy żądanie pochodzi z maszyny wirtualnej.

Użytkownicy, którzy nie przejdą tej kontroli, zostaną przekierowani na legalną witrynę Notepad++, podczas gdy potencjalnym celom przypisywany jest odrębny identyfikator zarówno w celu śledzenia, jak i zapewnienia, że każde pobranie jest unikalne i zależne od czasu.

Szkodliwe oprogramowanie w końcowej fazie ma postać ładunku HTA, ustanawiającego połączenie ze zdalną domeną „mybigeye[.]icu” na niestandardowym porcie i rozpowszechniające dalsze szkodliwe oprogramowanie.

Złośliwa kampania FakeBat wybiera swoje ofiary

Jerome Segura, dyrektor ds. analizy zagrożeń, stwierdził, że ugrupowania zagrażające skutecznie wykorzystują techniki unikania, aby ominąć kontrole weryfikacji reklam i skupić się na określonych typach ofiar.

To odkrycie zbiega się z podobną kampanią skierowaną do użytkowników poszukujących menedżera haseł KeePass. Wykorzystuje złośliwe reklamy do kierowania ofiar do domeny przy użyciu Punycode (keepass[.]info vs. ķeepass[.]info), specjalnego kodowania, które konwertuje znaki Unicode na ASCII.

Segura wyjaśniła, że osoby, które klikną reklamę, zostaną przekierowane przez usługę maskowania mającą na celu wykluczenie środowisk testowych, automatycznych botów i osób niezidentyfikowanych jako prawdziwa ofiara. Wyjaśnił dalej, że ugrupowania zagrażające utworzyły tymczasową domenę w witrynie keepasstacking[.], która organizuje przekierowanie warunkowe do miejsca docelowego.

Osoby trafiające na zwodniczą witrynę zostają oszukane i pobiorą złośliwy instalator, co ostatecznie prowadzi do uruchomienia FakeBat (znanego również jako EugenLoader), modułu ładującego przeznaczonego do pobierania innego złośliwego kodu.

Stosowanie Punycode nie jest całkowicie nowe, ale jego połączenie z fałszywymi reklamami Google Ads sygnalizuje rosnące wyrafinowanie w zakresie złośliwych reklam za pośrednictwem wyszukiwarek. Podejście to wykorzystuje Punycode do rejestrowania nazw domen podobnych do legalnych witryn, a ich celem jest przeprowadzanie ataków homograficznych i nakłanianie ofiar do instalowania złośliwego oprogramowania.