FakeBat 恶意软件在恶意广告活动中传播

有关恶意广告活动的新信息浮出水面，该活动利用 Google Ads 引导寻求流行软件的用户伪造登陆页面并分发后续恶意负载。

发现此活动的实体 Malwarebytes 将其描述为“识别用户和提供时间敏感负载的方法是独一无二的”。

这种攻击专门针对搜索 Notepad++ 和 PDF 转换器等软件的个人。它在 Google 搜索结果页面上展示假冒广告，点击后会显示欺骗性网站，从而过滤掉自动机器人和非预期 IP 地址。

如果威胁参与者对访问者感兴趣，他们就会被重新路由到宣传所需软件的虚假网站，同时秘密地对系统进行指纹识别，以确定请求是否来自虚拟机。

未通过此检查的用户将被重定向到合法的 Notepad++ 网站，同时为潜在目标分配一个独特的标识符，用于跟踪目的并确保每次下载都是唯一且时间敏感的。

最后阶段的恶意软件采用 HTA 有效负载的形式，在自定义端口上与远程域“mybigeye[.]icu”建立连接，并分发更多恶意软件。

FakeBat 恶意活动选择受害者

威胁情报总监杰罗姆·塞古拉（Jerome Segura）表示，威胁行为者正在有效地利用规避技术来规避广告验证检查，并专注于特定的受害者类型。

这一消息与针对搜索 KeePass 密码管理器的用户的类似活动同时发生。它利用恶意广告将受害者引导至使用 Punycode（keepass[.]info 与 ķeepass[.]info）的域，Punycode 是一种将 Unicode 字符转换为 ASCII 的特殊编码。

Segura 解释说，点击广告的人将通过一项隐藏服务重新路由，该服务旨在排除测试环境、自动化机器人和任何未被识别为真正受害者的人。他进一步解释说，威胁行为者已在 keepasstacking[.]site 上设置了一个临时域，用于协调到最终目的地的条件重定向。

登陆欺骗性网站的个人会被欺骗下载恶意安装程序，最终导致执行 FakeBat（也称为 EugenLoader），这是一种旨在下载其他恶意代码的加载程序。

Punycode 的使用并不是全新的，但它与欺诈性 Google Ads 的结合表明，通过搜索引擎进行的恶意广告日益复杂。这种方法利用 Punycode 注册与合法站点类似的域名，旨在执行同形异义词攻击并诱使受害者安装恶意软件。