Chineessprekende gebruikers zijn het doelwit geweest van kwaadaardige Google-advertenties voor beperkte berichten-apps zoals Telegram als onderdeel van een voortdurende malvertisingcampagne.
“De bedreigingsacteur misbruikt Google-adverteerdersaccounts om kwaadaardige advertenties te maken en verwijst ze naar pagina’s waar nietsvermoedende gebruikers in plaats daarvan Remote Administration Trojan (RAT’s) zullen downloaden”, zei Jérôme Segura van Malwarebytes in een rapport van donderdag. “Dergelijke programma’s geven een aanvaller volledige controle over de machine van een slachtoffer en de mogelijkheid om extra malware te plaatsen.”
Het is vermeldenswaard dat de activiteit, met de codenaam FakeAPP, een voortzetting is van een eerdere aanvalsgolf die zich eind oktober 2023 richtte op gebruikers uit Hong Kong die op zoekmachines naar berichten-apps zoals WhatsApp en Telegram zochten.
De nieuwste versie van de campagne voegt ook de berichtenapp LINE toe aan de lijst met berichtenapps, waardoor gebruikers worden omgeleid naar valse websites die worden gehost op Google Docs of Google Sites.
De infrastructuur van Google wordt gebruikt om links in te sluiten naar andere sites die onder de controle van de bedreigingsacteur staan, om zo de kwaadaardige installatiebestanden te leveren die uiteindelijk trojaanse paarden zoals PlugX en Gh0st RAT inzetten.
Malwarebytes zei dat het de frauduleuze advertenties heeft getraceerd naar twee adverteerdersaccounts genaamd Interactive Communication Team Limited en Ringier Media Nigeria Limited, gevestigd in Nigeria.
“Het lijkt er ook op dat de dreigingsactor kwantiteit boven kwaliteit verkiest door voortdurend nieuwe ladingen en infrastructuur als command-and-control te pushen”, aldus Segura.
De ontwikkeling komt op het moment dat Trustwave SpiderLabs een piek openbaarde in het gebruik van een phishing-as-a-service (PhaaS)-platform genaamd Greatness om legitiem ogende pagina’s voor het verzamelen van inloggegevens te creëren die gericht zijn op Microsoft 365-gebruikers.
“De kit maakt het mogelijk om afzendernamen, e-mailadressen, onderwerpen, berichten, bijlagen en QR-codes te personaliseren, waardoor de relevantie en betrokkenheid worden vergroot”, aldus het bedrijf, eraan toevoegend dat het wordt geleverd met anti-detectiemaatregelen zoals het willekeurig maken van headers, codering en verduistering. omzeil spamfilters en beveiligingssystemen.
Greatness wordt voor 120 dollar per maand te koop aangeboden aan andere criminele actoren, waardoor de toegangsdrempel effectief wordt verlaagd en hen wordt geholpen om op grote schaal aanvallen uit te voeren.
Aanvalsketens omvatten het verzenden van phishing-e-mails met kwaadaardige HTML-bijlagen die, wanneer ze door de ontvangers worden geopend, hen naar een nep-inlogpagina leiden die de ingevoerde inloggegevens vastlegt en de details via Telegram naar de bedreigingsacteur exfiltreert.
Andere infectiesequenties hebben de bijlagen gebruikt om malware op de machine van het slachtoffer te plaatsen om diefstal van informatie te vergemakkelijken.
Om de kans op succes van de aanval te vergroten, vervalsen de e-mailberichten vertrouwde bronnen zoals banken en werkgevers en wekken ze een vals gevoel van urgentie op met onderwerpen als ‘dringende factuurbetalingen’ of ‘dringende accountverificatie vereist’.
“Het aantal slachtoffers is op dit moment onbekend, maar Greatness wordt veel gebruikt en goed ondersteund, waarbij de eigen Telegram-gemeenschap informatie verstrekt over het bedienen van de kit, samen met aanvullende tips en trucs”, aldus Trustwave.
Er zijn ook phishing-aanvallen waargenomen waarbij Zuid-Koreaanse bedrijven werden getroffen door gebruik te maken van lokmiddelen die zich voordoen als technologiebedrijven als Kakao om AsyncRAT te verspreiden via kwaadaardige Windows-snelkoppelingsbestanden (LNK).
“Schadelijke snelkoppelingsbestanden, vermomd als legitieme documenten, worden voortdurend verspreid”, aldus het AhnLab Security Intelligence Center (ASEC). “Gebruikers kunnen het snelkoppelingsbestand aanzien voor een normaal document, omdat de extensie ‘.LNK’ niet zichtbaar is in de namen van de bestanden.”
