Исследователи ESET выявили кампанию по распространению вредоносного ПО, направленную на китайскоговорящих жителей Юго-Восточной и Восточной Азии путем покупки вводящей в заблуждение рекламы, появляющейся в результатах поиска Google, которая приводит к загрузке троянизированных инсталляторов. Неизвестные злоумышленники создали поддельные веб-сайты, которые выглядят идентично сайтам популярных приложений, таких как Firefox, WhatsApp или Telegram, но помимо предоставления легитимного программного обеспечения, также поставляют FatalRAT, троян удаленного доступа, который предоставляет злоумышленнику контроль над компьютером жертвы.
- Злоумышленники покупали рекламу для размещения своих вредоносных сайтов в разделе "спонсируемых" результатов поиска Google. Мы сообщили об этих объявлениях в Google, и они были оперативно удалены.
- Веб-сайты и загружаемые с них программы установки в основном на китайском языке и в некоторых случаях предлагают версии программ на китайском языке, которые не доступны в Китае.
- ESET наблюдали жертв в основном в Юго-Восточной и Восточной Азии, что позволяет предположить, что реклама была нацелена на этот регион.
- ESET наблюдали эти атаки в период с августа 2022 года по январь 2023 года, но, согласно нашей телеметрии, предыдущие версии программ установки использовались как минимум с мая 2022 года.
- Ни одно из вредоносных программ или сетевой инфраструктуры, использованных в этой кампании, не было сопоставлено с известными действиями каких-либо названных групп, поэтому на данный момент мы не приписываем эту деятельность какой-либо известной группе.
Indicators of Compromise
IPv4
- 107.148.35.6
- 107.148.45.20
- 107.148.45.32
- 107.148.45.34
- 107.148.45.37
- 107.148.45.48
- 193.203.214.75
Domains
- 12-03.telegramxe.com
- 12-08.telegraem.org
- 12-16.pinyin-sougou.com
- 12-25.telegraem.org
- 12-25.telegraxm.org
- electrumx.org
- firefoxs.org
- ghg.telegream.online
- googlechromes.com
- line-cn.net
- skype-cn.org
- telegraem.org
- telegramsz.net
- telegramxe.com
- telegramxe.net
- telegraxm.net
- whatcapp.org
- whatcpp.com
- whatcpp.net
- whateapp.net
- whatsappt.org
- youedao.com
SHA1
- 00fd2783bbfa313a41a1a96f708bc1a4bb9eacbd
- 1be646816c8543855a96460d437ccf60ed4d31fe
- 1fbe34abd5be9826fd5798c77fadcac170f46c07
- 2172812be94bfbb5d11b43a8bf53f8d3ae323636
- 23f8fa0e08fb771545cd842afde6604462c2b7e3
- 2a8297247184c0877e75c77826b40cd2a97a18a7
- 3620b83c0f2899b85dc0607efdec3643bca2441d
- 3dac2a16f023f9f8c7f8c40937ee54bba5e82f47
- 51d29b025a0d4c5cdc799689462fae53765c02a3
- 64c60f503662ef6ff13cc60ab516d33643668449
- 76249d1ef650fa95e73758dd334d7b51bd40a2e6
- ad4513b8349209717a351e1a18ab9fd3e35165a3
- adc4eb1edac5a53a37cc8cc90b11824263355687
- b6f068f73a8f8f3f2da1c55277e098b98f7963ec
- c9970aced030ae08fa0ee5d9ee70a392c812fb1b
- dbe21b19c484645000f4aee558e5546880886dc0
- ef0bb8490ac43bf8cf7bba86b137b0d29bee61fa
Certificates Serial number
- 26483C52A9B6A99A4FB18F69F8E575CE
- 317984D3F2ACDAB84095C93874BD10A9
Certificates Thumbprint
- 505CF4147DD08CA6A7BF3DFAE9590AC62B039F6E
- 457FC3F0CEC55DAAE551014CF87D2294C3EADDB1