Вредоносное ПО FakeBat, распространенное в рамках кампании по распространению вредоносной рекламы

Появилась новая информация о вредоносной рекламной кампании, в которой Google Ads используется для направления пользователей, ищущих популярное программное обеспечение, на сфабрикованные целевые страницы и последующего распространения вредоносной полезной нагрузки.

Компания Malwarebytes, раскрывшая эту деятельность, охарактеризовала ее как «уникальную в своем подходе к идентификации пользователей и доставке срочных полезных данных».

Эта атака нацелена конкретно на людей, которые ищут такое программное обеспечение, как Notepad++ и конвертеры PDF. Он представляет поддельную рекламу на странице результатов поиска Google, которая при нажатии отфильтровывает автоматических ботов и непреднамеренные IP-адреса, отображая обманчивый сайт.

Если считается, что посетитель представляет интерес для злоумышленника, он перенаправляется на поддельный веб-сайт, продвигающий нужное программное обеспечение, при этом тайно снимает отпечатки пальцев системы, чтобы определить, исходит ли запрос от виртуальной машины.

Пользователи, не прошедшие эту проверку, перенаправляются на законный веб-сайт Notepad++, а потенциальным целям присваивается отдельный идентификатор как для целей отслеживания, так и для обеспечения уникальности и срочности каждой загрузки.

Вредоносное ПО последней стадии принимает форму полезной нагрузки HTA, устанавливая соединение с удаленным доменом «mybigeye[.]icu» через специальный порт и распространяя дальнейшее вредоносное ПО.

Вредоносная кампания FakeBat выбирает своих жертв

Джером Сегура, директор по анализу угроз, заявил, что злоумышленники эффективно используют методы уклонения, чтобы обойти проверки рекламы и сосредоточиться на конкретных типах жертв.

Это открытие совпадает с аналогичной кампанией, нацеленной на пользователей, ищущих менеджер паролей KeePass. Он использует вредоносную рекламу для направления жертв в домен с помощью Punycode (keepass[.]info вместо ķeepass[.]info), специальной кодировки, которая преобразует символы Юникода в ASCII.

Сегура объяснил, что люди, которые нажимают на рекламу, будут перенаправлены через службу клоакинга, предназначенную для исключения тестовых сред, автоматических ботов и всех, кто не идентифицирован как настоящая жертва. Далее он пояснил, что злоумышленники создали временный домен на сайте Keepasstacking[.]Site, который организует условное перенаправление в конечный пункт назначения.

Лица, попавшие на мошеннический сайт, обманом заставляют загрузить вредоносный установщик, что в конечном итоге приводит к выполнению FakeBat (также известного как EugenLoader), загрузчика, предназначенного для загрузки другого вредоносного кода.

Использование Punycode не является чем-то совершенно новым, но его сочетание с мошеннической рекламой Google Ads свидетельствует о растущей изощренности вредоносной рекламы через поисковые системы. Этот подход использует Punycode для регистрации доменных имен, похожих на законные сайты, с целью проведения омографических атак и побуждения жертв к установке вредоносного ПО.