Wenn Sie bei Google nach PDF-Konvertern oder Notepad++ suchen, dann seien Sie auf der Hut. Nach Angaben des Cybersicherheitsunternehmens Malwarebytesist eine Malvertising-Kampagne entstanden, die Google Ads nutzt, um Nutzer, die nach dieser beliebten Software suchen, auf gefährliche Zielseiten zu leiten und Payloads der nächsten Stufe zu verteilen. Der Bericht behauptet, dass die Malvertising-Kampagne „einzigartig in ihrer Art ist, Nutzern Fingerabdrücke zu geben und zeitkritische Payloads zu verteilen“. Ein weiterer Punkt, der diese Kampagne von anderen unterscheidet, ist die Art und Weise, wie die Nutzlast heruntergeladen wird.
Wie Hacker arbeiten
Die Hacking-Kampagne zielt mit gefälschten Anzeigen in der Google-Suche auf Nutzer ab, die nach kostenlosen Versionen von Notepad++ und PDF-Konvertern suchen. Diese Anzeigen führen Benutzer auf eine Täuschungswebsite, nachdem sie Bots und unerwünschte IP-Adressen herausgefiltert haben. „Eine erste Filterstufe findet statt, wenn der Benutzer auf eine dieser Anzeigen klickt. Hierbei handelt es sich wahrscheinlich um eine IP-Prüfung, die VPNs und andere nicht echte IP-Adressen verwirft und stattdessen eine Täuschungsseite anzeigt“, heißt es in dem Bericht.
Das Opfer wird auf eine gefälschte Website weitergeleitet, auf der die Software beworben wird, während es stillschweigend einen Fingerabdruck im System abtastet, um festzustellen, ob die Anfrage von einer virtuellen Maschine stammt. Dem Bericht zufolge erhalten potenzielle Ziele eine eindeutige ID zur Nachverfolgung und um jeden Download einzigartig und zeitkritisch zu machen.
Die Malware der letzten Stufe stellt eine Verbindung zu einer Remote-Domäne her („mybigeye[.]icu“) auf einem benutzerdefinierten Port und stellt Folge-Malware über eine HTA-Nutzlast bereit.
„Bedrohungsakteure wenden erfolgreich Umgehungstechniken an, die Überprüfungen der Anzeigenüberprüfung umgehen und es ihnen ermöglichen, bestimmte Arten von Opfern ins Visier zu nehmen“, sagte Jerome Segura, Director of Threat Intelligence bei Malwarebytes.
„Mit einer zuverlässigen Malware-Lieferkette können sich böswillige Akteure auf die Verbesserung ihrer Täuschungsseiten und die Erstellung benutzerdefinierter Malware-Payloads konzentrieren“, fügte er hinzu.
Benutzer, die auf der Täuschungsseite landen, werden dazu verleitet, ein bösartiges Installationsprogramm herunterzuladen, das dann FakeBat (auch bekannt als EugenLoader) ausführt, einen Loader, der zum Herunterladen von zusätzlichem Schadcode entwickelt wurde, heißt es in dem Bericht.
Wie Hacker arbeiten
Die Hacking-Kampagne zielt mit gefälschten Anzeigen in der Google-Suche auf Nutzer ab, die nach kostenlosen Versionen von Notepad++ und PDF-Konvertern suchen. Diese Anzeigen führen Benutzer auf eine Täuschungswebsite, nachdem sie Bots und unerwünschte IP-Adressen herausgefiltert haben. „Eine erste Filterstufe findet statt, wenn der Benutzer auf eine dieser Anzeigen klickt. Hierbei handelt es sich wahrscheinlich um eine IP-Prüfung, die VPNs und andere nicht echte IP-Adressen verwirft und stattdessen eine Täuschungsseite anzeigt“, heißt es in dem Bericht.
Das Opfer wird auf eine gefälschte Website weitergeleitet, auf der die Software beworben wird, während es stillschweigend einen Fingerabdruck im System abtastet, um festzustellen, ob die Anfrage von einer virtuellen Maschine stammt. Dem Bericht zufolge erhalten potenzielle Ziele eine eindeutige ID zur Nachverfolgung und um jeden Download einzigartig und zeitkritisch zu machen.
Die Malware der letzten Stufe stellt eine Verbindung zu einer Remote-Domäne her („mybigeye[.]icu“) auf einem benutzerdefinierten Port und stellt Folge-Malware über eine HTA-Nutzlast bereit.
„Bedrohungsakteure wenden erfolgreich Umgehungstechniken an, die Überprüfungen der Anzeigenüberprüfung umgehen und es ihnen ermöglichen, bestimmte Arten von Opfern ins Visier zu nehmen“, sagte Jerome Segura, Director of Threat Intelligence bei Malwarebytes.
„Mit einer zuverlässigen Malware-Lieferkette können sich böswillige Akteure auf die Verbesserung ihrer Täuschungsseiten und die Erstellung benutzerdefinierter Malware-Payloads konzentrieren“, fügte er hinzu.
Benutzer, die auf der Täuschungsseite landen, werden dazu verleitet, ein bösartiges Installationsprogramm herunterzuladen, das dann FakeBat (auch bekannt als EugenLoader) ausführt, einen Loader, der zum Herunterladen von zusätzlichem Schadcode entwickelt wurde, heißt es in dem Bericht.