FakeBat 恶意软件在恶意广告活动中传播
有关恶意广告活动的新信息浮出水面,该活动利用 Google Ads 引导寻求流行软件的用户伪造登陆页面并分发后续恶意负载。
发现此活动的实体 Malwarebytes 将其描述为“识别用户和提供时间敏感负载的方法是独一无二的”。
这种攻击专门针对搜索 Notepad++ 和 PDF 转换器等软件的个人。它在 Google 搜索结果页面上展示假冒广告,点击后会显示欺骗性网站,从而过滤掉自动机器人和非预期 IP 地址。
如果威胁参与者对访问者感兴趣,他们就会被重新路由到宣传所需软件的虚假网站,同时秘密地对系统进行指纹识别,以确定请求是否来自虚拟机。
未通过此检查的用户将被重定向到合法的 Notepad++ 网站,同时为潜在目标分配一个独特的标识符,用于跟踪目的并确保每次下载都是唯一且时间敏感的。
最后阶段的恶意软件采用 HTA 有效负载的形式,在自定义端口上与远程域“mybigeye[.]icu”建立连接,并分发更多恶意软件。
FakeBat 恶意活动选择受害者
威胁情报总监杰罗姆·塞古拉(Jerome Segura)表示,威胁行为者正在有效地利用规避技术来规避广告验证检查,并专注于特定的受害者类型。
这一消息与针对搜索 KeePass 密码管理器的用户的类似活动同时发生。它利用恶意广告将受害者引导至使用 Punycode(keepass[.]info 与 ķeepass[.]info)的域,Punycode 是一种将 Unicode 字符转换为 ASCII 的特殊编码。
Segura 解释说,点击广告的人将通过一项隐藏服务重新路由,该服务旨在排除测试环境、自动化机器人和任何未被识别为真正受害者的人。他进一步解释说,威胁行为者已在 keepasstacking[.]site 上设置了一个临时域,用于协调到最终目的地的条件重定向。
登陆欺骗性网站的个人会被欺骗下载恶意安装程序,最终导致执行 FakeBat(也称为 EugenLoader),这是一种旨在下载其他恶意代码的加载程序。
Punycode 的使用并不是全新的,但它与欺诈性 Google Ads 的结合表明,通过搜索引擎进行的恶意广告日益复杂。这种方法利用 Punycode 注册与合法站点类似的域名,旨在执行同形异义词攻击并诱使受害者安装恶意软件。