Een nieuwe campagne verleidt gebruikers die zoeken naar de Meta Quest-applicatie (voorheen Oculus) voor Windows, zodat ze een nieuwe adware-familie downloaden genaamd AdsExhaust.
“De adware is in staat schermafbeeldingen van geïnfecteerde apparaten te exfiltreren en met browsers te communiceren met behulp van gesimuleerde toetsaanslagen”, zei cyberbeveiligingsbedrijf eSentire in een analyse, eraan toevoegend dat het de activiteit eerder deze maand identificeerde.
“Deze functionaliteiten maken het mogelijk om automatisch door advertenties te klikken of de browser om te leiden naar specifieke URL’s, waardoor inkomsten worden gegenereerd voor de adware-exploitanten.”
De initiële infectieketen bestaat uit het opduiken van de nepwebsite (“oculus-app(.)com”) op pagina’s met zoekresultaten van Google met behulp van zoekmachineoptimalisatie (SEO)-vergiftigingstechnieken, waardoor nietsvermoedende bezoekers van de site een ZIP-archief (“oculus-app.) downloaden. EXE.zip”) met een Windows-batchscript.
Het batchscript is ontworpen om een tweede batchscript op te halen van een command-and-control (C2)-server, die op zijn beurt een opdracht bevat om een ander batchbestand op te halen. Het creëert ook geplande taken op de machine om de batchscripts op verschillende tijdstippen uit te voeren.
Deze stap wordt gevolgd door het downloaden van de legitieme app naar de getroffen host, terwijl tegelijkertijd extra Visual Basic Script (VBS)-bestanden en PowerShell-scripts worden verwijderd om IP- en systeeminformatie te verzamelen, schermafbeeldingen te maken en de gegevens naar een externe server te exfiltreren ( “us11(.)org/in.php”).
Het antwoord van de server is de op PowerShell gebaseerde AdsExhaust-adware die controleert of de Edge-browser van Microsoft actief is en bepaalt wanneer voor het laatst een gebruikersinvoer heeft plaatsgevonden.
“Als Edge actief is en het systeem inactief is en langer duurt dan 9 minuten, kan het script klikken injecteren, nieuwe tabbladen openen en naar URL’s navigeren die in het script zijn ingebed”, aldus eSentire. “Het scrollt dan willekeurig op en neer over de geopende pagina.”
Er wordt vermoed dat dit gedrag bedoeld is om elementen zoals advertenties op de webpagina te activeren, vooral omdat AdsExhaust willekeurige klikken uitvoert binnen specifieke coördinaten op het scherm.
De adware kan ook de geopende browser sluiten als muisbewegingen of gebruikersinteractie worden gedetecteerd, een overlay creëren om zijn activiteiten voor het slachtoffer te verbergen en naar het woord ‘Gesponsord’ zoeken in het momenteel geopende Edge-browsertabblad om op te klikken de advertentie met als doel de advertentie-inkomsten te verhogen.
Bovendien is het uitgerust om een lijst met trefwoorden op te halen van een externe server en Google-zoekopdrachten uit te voeren naar die trefwoorden door Edge-browsersessies te starten via de Start-Process PowerShell-opdracht.
“AdsExhaust is een adware-dreiging die op slimme wijze gebruikersinteracties manipuleert en zijn activiteiten verbergt om ongeoorloofde inkomsten te genereren”, aldus het Canadese bedrijf.
“Het bevat meerdere technieken, zoals het ophalen van kwaadaardige code van de C2-server, het simuleren van toetsaanslagen, het maken van schermafbeeldingen en het maken van overlays om onopgemerkt te blijven terwijl je schadelijke activiteiten uitvoert.”
De ontwikkeling komt doordat vergelijkbare nep-IT-ondersteuningswebsites die via de zoekresultaten zijn opgedoken, worden gebruikt om Hijack Loader (ook bekend als IDAT Loader) te leveren, wat uiteindelijk leidt tot een Vidar Stealer-infectie.
Wat de aanval opvallend maakt, is dat de bedreigingsactoren ook YouTube-video’s gebruiken om reclame te maken voor de nepsite en bots gebruiken om frauduleuze opmerkingen te plaatsen, waardoor het een laagje legitimiteit krijgt voor gebruikers die op zoek zijn naar oplossingen om een Windows-updatefout aan te pakken (foutcode 0x80070643 ).
“Dit benadrukt de effectiviteit van social engineering-tactieken en de noodzaak voor gebruikers om voorzichtig te zijn met de authenticiteit van de oplossingen die ze online vinden”, aldus eSentire.
De onthulling volgt ook op een malpsam-campagne die zich richt op gebruikers in Italië met ZIP-archieflokmiddelen met factuurthema om een op Java gebaseerde trojan voor externe toegang te leveren genaamd Adwind (ook bekend als AlienSpy, Frutas, jRAT, JSocket, Sockrat en Unrecom).
“Bij het uitpakken krijgt de gebruiker .HTML-bestanden zoals INVOICE.html of DOCUMENT.html te zien die leiden naar kwaadaardige .jar-bestanden”, aldus Symantec, eigendom van Broadcom.
“De laatste verloren lading is de Adwind remote access trojan (RAT) waarmee de aanvallers controle kunnen krijgen over het gecompromitteerde eindpunt en over het verzamelen en exfiltreren van vertrouwelijke gegevens.”
