FakeBat 惡意軟體在惡意廣告活動中傳播
有關惡意廣告活動的新資訊浮出水面,該活動利用 Google Ads 引導尋求流行軟體的用戶偽造登陸頁面並分發後續惡意負載。
發現此活動的實體 Malwarebytes 將其描述為「識別使用者和提供時間敏感負載的方法是獨一無二的」。
這種攻擊專門針對搜尋 Notepad++ 和 PDF 轉換器等軟體的個人。它在 Google 搜尋結果頁面上顯示假冒廣告,點擊後會顯示欺騙性網站,從而過濾掉自動機器人和非預期 IP 位址。
如果威脅參與者對訪客感興趣,他們就會被重新路由到宣傳所需軟體的虛假網站,同時秘密地對系統進行指紋識別,以確定請求是否來自虛擬機器。
未通過此檢查的使用者將被重定向到合法的 Notepad++ 網站,同時為潛在目標分配一個獨特的標識符,用於追蹤目的並確保每次下載都是唯一且時間敏感的。
最後階段的惡意軟體採用 HTA 有效負載的形式,在自訂連接埠上與遠端網域「mybigeye[.]icu」建立連接,並分發更多惡意軟體。
FakeBat 惡意活動選擇受害者
威脅情報總監 Jerome Segura表示,威脅行為者正在有效地利用規避技術來規避廣告驗證檢查,並專注於特定的受害者類型。
這項訊息與針對搜尋 KeePass 密碼管理器的使用者的類似活動同時發生。它利用惡意廣告將受害者引導至使用 Punycode(keepass[.]info 與 ķeepass[.]info)的網域,Punycode 是一種將 Unicode 字元轉換為 ASCII 的特殊編碼。
Segura 解釋說,點擊廣告的人將透過一項隱藏服務重新路由,該服務旨在排除測試環境、自動化機器人和任何未被識別為真正受害者的人。他進一步解釋說,威脅行為者已在 keepasstacking[.]site 上設定了一個臨時域,用於協調到最終目的地的條件重定向。
登陸欺騙性網站的個人會被欺騙下載惡意安裝程序,最終導致執行 FakeBat(也稱為 EugenLoader),這是一種旨在下載其他惡意程式碼的載入程式。
Punycode 的使用並不是全新的,但它與欺詐性 Google Ads 的結合表明,透過搜尋引擎進行的惡意廣告日益複雜。這種方法利用 Punycode 註冊與合法站點類似的域名,旨在執行同形異義詞攻擊並誘使受害者安裝惡意軟體。