Malware FakeBat distribuído em campanha de malvertising

Novas informações surgiram sobre uma campanha de malvertising que explora o Google Ads para direcionar usuários que buscam software popular para páginas de destino fabricadas e distribuir cargas maliciosas subsequentes.

A Malwarebytes, a entidade que descobriu esta atividade, caracterizou-a como “única na sua abordagem para identificar utilizadores e entregar cargas úteis urgentes”.

Este ataque visa especificamente indivíduos que procuram software como Notepad++ e conversores de PDF. Apresenta anúncios falsificados na página de resultados de pesquisa do Google, que, ao clicar, filtra bots automatizados e endereços IP não intencionais, exibindo um site enganoso.

Se o visitante for considerado de interesse para o autor da ameaça, ele será redirecionado para um site falso que promove o software desejado, enquanto coleta secretamente as impressões digitais do sistema para determinar se a solicitação se origina de uma máquina virtual.

Os usuários que falham nesta verificação são redirecionados para o site legítimo do Notepad++, enquanto os alvos potenciais recebem um identificador distinto para fins de rastreamento e para garantir que cada download seja único e urgente.

O malware em estágio final assume a forma de uma carga HTA, estabelecendo uma conexão com um domínio remoto, “mybigeye[.]icu”, em uma porta personalizada, e distribuindo mais malware.

Campanha maliciosa FakeBat escolhe suas vítimas

Jerome Segura, diretor de inteligência de ameaças, afirmou que os agentes de ameaças estão efetivamente empregando técnicas de evasão para contornar as verificações de verificação de anúncios e se concentrar em tipos específicos de vítimas.

Esta revelação coincide com uma campanha semelhante direcionada a usuários que procuram o gerenciador de senhas KeePass. Ele emprega anúncios maliciosos para direcionar as vítimas para um domínio usando Punycode (keepass[.]info vs. ķeepass[.]info), uma codificação especial que converte caracteres Unicode em ASCII.

Segura explicou que as pessoas que clicarem no anúncio serão redirecionadas por meio de um serviço de cloaking projetado para excluir ambientes de teste, bots automatizados e qualquer pessoa não identificada como vítima genuína. Ele explicou ainda que os atores da ameaça criaram um domínio temporário no site keepasstacking[.]que orquestra o redirecionamento condicional para o destino final.

Os indivíduos que acessam o site enganoso são induzidos a baixar um instalador malicioso, o que leva à execução do FakeBat (também conhecido como EugenLoader), um carregador projetado para baixar outros códigos maliciosos.

O uso do Punycode não é totalmente novo, mas sua combinação com anúncios fraudulentos do Google sinaliza uma sofisticação crescente na publicidade maliciosa por meio de mecanismos de pesquisa. Essa abordagem aproveita o Punycode para registrar nomes de domínio semelhantes a sites legítimos, com o objetivo de executar ataques homógrafos e induzir as vítimas a instalar malware.