Detalji o malver kampanji koja koristi Google oglase kako bi usmjerila korisnike koji traže popularne softvere prema fiktivnim stranicama i distribuirala naredne faze malicioznog softvera su isplivali.
Malwarebytes, koji je otkrio ovu aktivnost, nazvao ju je “jedinstvenom po načinu na koji identifikuje korisnike i distribuira vremenski osjetljive naredbe.”
Napad cilja korisnike koji traže Notepad++ i PDF konvertore kako bi im prikazao lažne oglase na Google stranici sa rezultatima pretrage. Kada korisnici kliknu na ove oglase, prikazuju se lažne stranice koje filtriraju botove i druge nepoželjne IP adrese.
Ako se posjetilac smatra interesantnim za napadača, on je preusmjeren na repliku web stranice koja reklamira softver, dok se istovremeno tiho identifikuje sistem kako bi se utvrdilo da li zahtjev potiče iz virtuelne mašine.
Korisnici koji ne prođu proveru preusmeravaju se na legitimnu Notepad++ web stranicu, dok se potencijalnoj meti dodeljuje jedinstveni ID “radi praćenja, ali i kako bi se obezbijedilo da svako preuzimanje bude jedinstveno i vremenski osjetljivo.”
Poslednja faza malicioznog softvera je HTA naredba koja uspostavlja vezu sa udaljenim domenom (“mybigeye[.]icu”) na prilagođenom portu i distribuira naredne maliciozne komponente.
“Napadači uspješno primjenjuju tehnike izbjegavanja koje zaobilaze provjere oglasa i omogućavaju im da ciljaju određene vrste žrtava”, izjavio je Jérôme Segura, direktor za obavještajne prijetnje.
Ovaj slučaj se poklapa sa sličnom kampanjom koja cilja korisnike koji traže upravljač šifri KeePass sa malicioznim oglasima koji žrtve preusmjerava na domen sa upotrebom Punycode (keepass[.]info vs. ķeepass[.]info), posebnog kodiranja koje konvertuje Unicode znakove u ASCII.
Ljudi koji kliknu na oglas biće preusmjereni putem servisa za prikrivanje koji je namjenjen filtriranju botova i svih koji nisu smatrani pravim žrtvama. Threat actori su postavili privremeni domen na keepasstacking[.]site koji vrši uslovno preusmjeravanje na krajnju destinaciju.
Korisnici koji završe na lažnoj stranici su prevareni da preuzmu maliciozan instalacioni program koji na kraju vodi do izvršenja FakeBat (poznat kao EugenLoader), loadera koji je dizajniran za preuzimanje drugog malicioznog koda.
Zloupotreba Punycode-a nije potpuno nova, ali kombinacija sa zlonamjernim Google oglasima ukazuje na to da napad putem pretraživača postaje sofisticiraniji. Upotrebom Punycode-a za registrovanje sličnih domena kao kod legitimne stranice, cilj je izvesti homografski napad i privući žrtve da instaliraju maliciozni softver.
Osim toga, primjećeno je da više threat actora, uključujući TA569 (poznat kao SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), ClearFake i EtherHiding, koristi teme vezane za lažna ažuriranje pretraživača kako bi širili Cobalt Strike, loadere, “stealere” i trojance za daljinski pristup, što ukazuje na to da su ovi napadi konstantna i evoluirajuća pretnja.
“Lažna ažuriranja pretraživača zloupotrebljavaju povjerenje korisnika sa kompromitovanim sajtovima i mamcem prilagođenim pregledaču korisnika kako bi se legitimiralo ažuriranje i prevarili korisnici da kliknu”, izjavio je istraživač Dusty Miller iz kompanije Proofpoint.
“Prijetnja postoji samo u pregledaču i može biti inicirana klikom sa legitimne i očekivane e-pošte, društvene mreže, pretraživača, ili čak samo navigacijom na kompromitovanom sajtu.”
This Post Has 0 Comments