Er zijn details bekend over een malvertisingcampagne die gebruikmaakt van Google Ads om gebruikers die naar populaire software zoeken naar fictieve landingspagina’s te leiden en de volgende fase te distribueren.
Malwarebytes, die de activiteit ontdekte, zei dat het “uniek is in zijn manier om gebruikers vingerafdrukken te geven en tijdgevoelige payloads te verspreiden.”
De aanval richt zich op gebruikers die zoeken naar Notepad++- en PDF-converters om valse advertenties weer te geven op de zoekresultatenpagina van Google. Wanneer erop wordt geklikt, worden bots en andere onbedoelde IP-adressen eruit gefilterd door een loksite weer te geven.
Als de bezoeker van belang wordt geacht voor de bedreigingsacteur, wordt het slachtoffer doorgestuurd naar een replicawebsite die reclame maakt voor de software, terwijl hij stilletjes een vingerafdruk van het systeem maakt om te bepalen of het verzoek afkomstig is van een virtuele machine.
Gebruikers die de controle niet doorstaan, worden naar de legitieme Notepad++-website geleid, terwijl een potentieel doelwit een unieke ID krijgt toegewezen voor “trackingdoeleinden maar ook om elke download uniek en tijdgevoelig te maken.”
De malware in de laatste fase is een HTA-payload die een verbinding tot stand brengt met een extern domein (“mybigeye[.]icu”) op een aangepaste poort en serveert vervolgmalware.
“Bedreigingsactoren passen met succes ontwijkingstechnieken toe die de verificatiecontroles van advertenties omzeilen en hen in staat stellen zich op bepaalde soorten slachtoffers te richten”, zegt Jérôme Segura, directeur dreigingsinformatie.
“Met een betrouwbare malware-leveringsketen in de hand kunnen kwaadwillende actoren zich concentreren op het verbeteren van hun lokpagina’s en het maken van aangepaste malware-payloads.”
De openbaarmaking overlapt met een soortgelijke campagne die zich richt op gebruikers die zoeken naar de KeePass-wachtwoordbeheerder met kwaadaardige advertenties die slachtoffers naar een domein leiden met behulp van Punycode (keepass[.]info versus ķeepass[.]info ), een speciale codering die wordt gebruikt om Unicode-tekens naar ASCII te converteren.
“Mensen die op de advertentie klikken, worden omgeleid via een cloaking-service die bedoeld is om sandboxes, bots en iedereen die niet als een echt slachtoffer wordt beschouwd, te filteren”, aldus Segura. “De bedreigingsactoren hebben een tijdelijk domein opgezet op keepasstacking[.]site die de voorwaardelijke omleiding naar de eindbestemming uitvoert.”
Gebruikers die op de loksite terechtkomen, worden misleid om een kwaadaardig installatieprogramma te downloaden dat uiteindelijk leidt tot de uitvoering van FakeBat (ook bekend als EugenLoader), een lader die is ontworpen om andere kwaadaardige code te downloaden.
Het misbruik van Punycode is niet geheel nieuw, maar de combinatie ervan met frauduleuze Google Ads is een teken dat malvertising via zoekmachines steeds geavanceerder wordt. Door Punycode te gebruiken om vergelijkbare domeinnamen als legitieme site te registreren, is het doel een homograafaanval uit te voeren en slachtoffers ertoe te verleiden malware te installeren.
“Hoewel Punycode met geïnternationaliseerde domeinnamen al jaren door bedreigingsactoren wordt gebruikt tegen phishing-slachtoffers, laat het zien hoe effectief het blijft in de context van merkimitatie via malvertising”, aldus Segura.
Over visueel bedrog gesproken: er is waargenomen dat meerdere bedreigingsactoren – TA569 (ook bekend als SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), ClearFake en EtherHiding – misbruik maakten van thema’s die verband houden met valse browserupdates om Cobalt Strike, laders en stealers te verspreiden. en trojans voor externe toegang, een teken dat deze aanvallen een constante, evoluerende bedreiging vormen.
“Valse browserupdates misbruiken het vertrouwen van eindgebruikers met gecompromitteerde websites en een lokmiddel dat is aangepast aan de browser van de gebruiker om de update te legitimeren en gebruikers te misleiden om te klikken”, zei Proofpoint-onderzoeker Dusty Miller in een analyse die deze week werd gepubliceerd.
“De dreiging zit alleen in de browser en kan worden geïnitieerd door een klik op een legitieme en verwachte e-mail, een sociale-mediasite, een zoekopdracht in een zoekmachine of zelfs door gewoon naar de besmette site te navigeren.”
