Er is ontdekt dat een nieuwe malvertisingcampagne nepsites gebruikt die zich voordoen als een legitiem Windows-nieuwsportaal om een kwaadaardig installatieprogramma te verspreiden voor een populaire systeemprofileringstool genaamd CPU-Z.
“Dit incident maakt deel uit van een grotere malvertisingcampagne die zich richt op andere hulpprogramma’s zoals Notepad++, Citrix en VNC Viewer, zoals te zien is in de infrastructuur (domeinnamen) en cloaking-sjablonen die worden gebruikt om detectie te voorkomen”, aldus Jérôme Segura van Malwarebytes.
Hoewel het bekend is dat malvertisingcampagnes replicasites opzetten die reclame maken voor veelgebruikte software, duidt de laatste activiteit op een afwijking in die zin dat de website WindowsReport nabootst.[.]com.
Het doel is om nietsvermoedende gebruikers die naar CPU-Z zoeken op zoekmachines zoals Google te misleiden door kwaadaardige advertenties weer te geven die, wanneer erop wordt geklikt, hen omleiden naar de nepportal (werkruimte-app[.]online).
Tegelijkertijd krijgen gebruikers die niet de beoogde slachtoffers van de campagne zijn, een onschadelijke blog te zien met verschillende artikelen, een techniek die bekend staat als cloaking.
Het ondertekende MSI-installatieprogramma dat op de frauduleuze website wordt gehost, bevat een kwaadaardig PowerShell-script, een lader die bekend staat als FakeBat (ook bekend als EugenLoader), die dient als kanaal om RedLine Stealer op de besmette host te implementeren.
“Het is mogelijk dat de bedreigingsacteur ervoor heeft gekozen om een loksite te maken die op Windows Report lijkt, omdat veel softwarehulpprogramma’s vaak van dergelijke portalen worden gedownload in plaats van van hun officiële webpagina”, aldus Segura.
Dit is verre van de eerste keer dat misleidende Google-advertenties voor populaire software een verspreidingsvector van malware blijken te zijn. Vorige week maakte cyberbeveiligingsbedrijf eSentire details bekend van een bijgewerkte stikstofcampagne die de weg vrijmaakt voor een BlackCat-ransomware-aanval.
Uit twee andere door het Canadese cyberbeveiligingsbedrijf gedocumenteerde campagnes blijkt dat de drive-by-downloadmethode, waarbij gebruikers naar dubieuze websites worden geleid, de afgelopen maanden is gebruikt om verschillende malwarefamilies zoals NetWire RAT, DarkGate en DanaBot te verspreiden.
Deze ontwikkeling komt doordat bedreigingsactoren steeds meer afhankelijk blijven van phishing-kits van Adversary-in-the-Middle (AiTM), zoals NakedPages, Strox en DadSec om multi-factor authenticatie te omzeilen en gerichte accounts te kapen.
Als klap op de vuurpijl vestigde eSentire ook de aandacht op een nieuwe methode genaamd de Wiki-Slack-aanval, een aanval in de richting van de gebruiker die tot doel heeft slachtoffers naar een door de aanvaller gecontroleerde website te leiden door het einde van de eerste alinea van een Wikipedia-artikel te beschadigen en te delen het op Slack.
Concreet maakt het gebruik van een gril in Slack die “misbruik” veroorzaakt[s] de witruimte tussen de eerste en tweede alinea” om automatisch een link te genereren wanneer de Wikipedia-URL als voorbeeld wordt weergegeven in het zakelijke berichtenplatform.
Het is de moeite waard om erop te wijzen dat een belangrijke voorwaarde om deze aanval uit te voeren is dat het eerste woord van de tweede alinea in het Wikipedia-artikel een topniveaudomein moet zijn (bijvoorbeeld in, at, com of net) en dat de twee alinea’s moet binnen de eerste 100 woorden van het artikel verschijnen.
Met deze beperkingen zou een dreiging dit gedrag zodanig kunnen bewapenen dat de manier waarop Slack de voorbeeldresultaten van de gedeelde pagina opmaakt, verwijst naar een kwaadaardige link die, wanneer hij klikt, het slachtoffer naar een site met boobytraps brengt.
“Als iemand niet over ethische vangrails beschikt, kunnen ze het aanvalsoppervlak van de Wiki-Slack-aanval vergroten door interessante Wikipedia-pagina’s te bewerken om deze te ontsieren”, aldus eSentire.
