FakeBat 惡意軟體在惡意廣告活動中傳播

有關惡意廣告活動的新資訊浮出水面，該活動利用 Google Ads 引導尋求流行軟體的用戶偽造登陸頁面並分發後續惡意負載。

發現此活動的實體 Malwarebytes 將其描述為「識別使用者和提供時間敏感負載的方法是獨一無二的」。

這種攻擊專門針對搜尋 Notepad++ 和 PDF 轉換器等軟體的個人。它在 Google 搜尋結果頁面上顯示假冒廣告，點擊後會顯示欺騙性網站，從而過濾掉自動機器人和非預期 IP 位址。

如果威脅參與者對訪客感興趣，他們就會被重新路由到宣傳所需軟體的虛假網站，同時秘密地對系統進行指紋識別，以確定請求是否來自虛擬機器。

未通過此檢查的使用者將被重定向到合法的 Notepad++ 網站，同時為潛在目標分配一個獨特的標識符，用於追蹤目的並確保每次下載都是唯一且時間敏感的。

最後階段的惡意軟體採用 HTA 有效負載的形式，在自訂連接埠上與遠端網域「mybigeye[.]icu」建立連接，並分發更多惡意軟體。

FakeBat 惡意活動選擇受害者

威脅情報總監 Jerome Segura表示，威脅行為者正在有效地利用規避技術來規避廣告驗證檢查，並專注於特定的受害者類型。

這項訊息與針對搜尋 KeePass 密碼管理器的使用者的類似活動同時發生。它利用惡意廣告將受害者引導至使用 Punycode（keepass[.]info 與 ķeepass[.]info）的網域，Punycode 是一種將 Unicode 字元轉換為 ASCII 的特殊編碼。

Segura 解釋說，點擊廣告的人將透過一項隱藏服務重新路由，該服務旨在排除測試環境、自動化機器人和任何未被識別為真正受害者的人。他進一步解釋說，威脅行為者已在 keepasstacking[.]site 上設定了一個臨時域，用於協調到最終目的地的條件重定向。

登陸欺騙性網站的個人會被欺騙下載惡意安裝程序，最終導致執行 FakeBat（也稱為 EugenLoader），這是一種旨在下載其他惡意程式碼的載入程式。

Punycode 的使用並不是全新的，但它與欺詐性 Google Ads 的結合表明，透過搜尋引擎進行的惡意廣告日益複雜。這種方法利用 Punycode 註冊與合法站點類似的域名，旨在執行同形異義詞攻擊並誘使受害者安裝惡意軟體。