Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια αναβίωση του Fakebat malware loader, που διανέμεται μέσω κακόβουλων Google Ads. Μετά από ένα διάλειμμα πολλών μηνών, το Fakebat επανεμφανίστηκε, εστιάζοντας σε χρήστες που αναζητούν δημοφιλές λογισμικό παραγωγικότητας.
Δείτε επίσης: Νέο SteelFox malware παραβιάζει υπολογιστές Windows
Το Malwarebytes εντόπισε μια κακόβουλη διαφήμιση της Google που υποδύεται το Notion, μια ευρέως χρησιμοποιούμενη εφαρμογή παραγωγικότητας. Η διαφήμιση εμφανίστηκε στην κορυφή των αποτελεσμάτων αναζήτησης και φαινόταν απολύτως νόμιμη, με επίσημο λογότυπο και ιστότοπο. Ωστόσο, κάνοντας κλικ σε αυτή, οι χρήστες οδηγούνται σε μια σειρά ανακατευθύνσεων προτού τελικά τους παραδοθεί το Fakebat malware.
Το Fakebat, γνωστό και ως Eugenloader ή PaykLoader, είναι ένα εξελιγμένο κακόβουλο λογισμικό loader-as-a-service (LaaS) που είναι ενεργό τουλάχιστον από τον Δεκέμβριο του 2022. Έχει σχεδιαστεί για να κατεβάζει και να εκτελεί διάφορα δευτερεύοντα ωφέλιμα φορτία, συμπεριλαμβανομένων infostealers όπως το IcedID, το Lumma και το RedLine.
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Δείτε ακόμα: Το malware FakeCall αναδρομολογεί τραπεζικές κλήσεις στους εισβολείς
Η μέθοδος διανομής του Fakebat malware, εκμεταλλεύεται την πλατφόρμα διαφημίσεων της Google χρησιμοποιώντας πρότυπα παρακολούθησης για να παρακάμψει τον εντοπισμό, αναφέρει η Malwarebytes.
Εάν ο χρήστης δεν είναι ο επιδιωκόμενος στόχος, ανακατευθύνεται στον νόμιμο ιστότοπο, καθιστώντας δύσκολο για την Google να αναγνωρίσει την κακόβουλη δραστηριότητα.
Μόλις εγκατασταθεί, το Fakebat malware χρησιμοποιεί πολλαπλά στάδια σεναρίων PowerShell για να αποφύγει τον εντοπισμό και τα περιβάλλοντα sandbox. Το τελικό ωφέλιμο φορτίο σε αυτήν την καμπάνια προσδιορίστηκε ως το LummaC2 Stealer.
Αυτή η αναζωπύρωση του Fakebat malware, υπογραμμίζει την επίμονη απειλή των καμπανιών κακόβουλης διαφήμισης. Παρά την πρόσφατη μείωση τέτοιων επιθέσεων, οι εγκληματίες του κυβερνοχώρου μπορούν γρήγορα να επιστρέψουν σε αυτές τις αποδεδειγμένες μεθόδους.
Δείτε επίσης: ΗΠΑ: Κατηγορίες εναντίον Ρώσου για δημιουργία του RedLine malware
Το κακόβουλο λογισμικό Loader-as-a-Service (LaaS) αντιπροσωπεύει μια αυξανόμενη απειλή στο τοπίο του εγκλήματος στον κυβερνοχώρο, συνδυάζοντας τις αρχές του Software-as-a-Service με κακόβουλη πρόθεση. Αυτό το μοντέλο επιτρέπει στους εγκληματίες του κυβερνοχώρου να προσφέρουν φορτωτές με συνδρομή, επιτρέποντας σε άλλους εισβολείς να διανέμουν διάφορα κακόβουλα ωφέλιμα φορτία χωρίς να χρειάζονται τεχνική τεχνογνωσία για την ανάπτυξη τέτοιων φορτωτών. Με την εμπορευματοποίηση της διαδικασίας διανομής κακόβουλου λογισμικού, το LaaS μειώνει σημαντικά τα εμπόδια εισόδου για την έναρξη κυβερνοεπιθέσεων, διευρύνοντας έτσι τη δεξαμενή των πιθανών δραστών. Αυτοί οι φορτωτές πωλούνται συνήθως σε σκοτεινά φόρουμ και αγορές, όπου διαφημίζονται για την ικανότητά τους να παρακάμπτουν τις άμυνες ασφαλείας και να διανέμουν μια ποικιλία απειλών, από ransomware έως spyware. Ως εκ τούτου, οι επιχειρήσεις και τα άτομα καλούνται να ενισχύσουν τα μέτρα κυβερνοασφάλειας τους για να μετριάσουν τους κινδύνους που ενέχει αυτός ο εξελισσόμενος φορέας απειλής.
Πηγή: cybersecuritynews