FakeBat Malware distribueras i Malvertising Campaign

Ny information har dykt upp om en malvertisingkampanj som utnyttjar Google Ads för att dirigera användare som söker populär programvara till tillverkade målsidor och distribuera efterföljande skadliga nyttolaster.

Malwarebytes, enheten som avslöjade denna aktivitet, karakteriserade den som "unik i sin metod för att identifiera användare och leverera tidskänsliga nyttolaster."

Denna attack riktar sig specifikt till individer som söker efter programvara som Notepad++ och PDF-konverterare. Den presenterar förfalskade annonser på Googles sökresultatsida, som vid klick filtrerar bort automatiska bots och oavsiktliga IP-adresser genom att visa en vilseledande webbplats.

Om besökaren anses vara av intresse för hotaktören, omdirigeras de till en falsk webbplats som marknadsför den önskade programvaran samtidigt som de i hemlighet tar fingeravtryck av systemet för att avgöra om begäran kommer från en virtuell maskin.

Användare som misslyckas med denna kontroll omdirigeras till den legitima Notepad++-webbplatsen, medan potentiella mål tilldelas en distinkt identifierare för både spårningsändamål och för att säkerställa att varje nedladdning är unik och tidskänslig.

Skadlig programvara i slutskedet tar formen av en HTA-nyttolast, som upprättar en anslutning till en fjärrdomän, "mybigeye[.]icu," på en anpassad port och distribuerar ytterligare skadlig programvara.

FakeBat Malicious Campaign väljer sina offer

Jerome Segura, chef för hotintelligens, uppgav att hotaktörer effektivt använder undanflyktstekniker för att kringgå kontroller av annonsverifiering och fokusera på specifika offertyper.

Denna uppenbarelse sammanfaller med en liknande kampanj riktad mot användare som söker efter KeePass lösenordshanteraren. Den använder skadliga annonser för att dirigera offer till en domän med hjälp av Punycode (keepass[.]info vs. ķeepass[.]info), en speciell kodning som konverterar Unicode-tecken till ASCII.

Segura förklarade att personer som klickar på annonsen kommer att omdirigeras genom en cloakingtjänst utformad för att utesluta testmiljöer, automatiserade bots och alla som inte identifieras som ett genuint offer. Han förklarade vidare att hotaktörerna har skapat en tillfällig domän på keepassstacking[.]webbplatsen som orkestrerar den villkorliga omdirigeringen till slutdestinationen.

Individer som landar på den vilseledande webbplatsen luras att ladda ner ett skadligt installationsprogram, vilket i slutändan leder till körningen av FakeBat (även känd som EugenLoader), en laddare som är utformad för att ladda ner annan skadlig kod.

Användningen av Punycode är inte helt ny, men kombinationen med bedrägliga Google Ads signalerar en växande sofistikering i malvertising via sökmotorer. Detta tillvägagångssätt utnyttjar Punycode för att registrera domännamn som liknar legitima webbplatser, i syfte att utföra homografiska attacker och locka offer att installera skadlig programvara.