Исследователи безопасности обнаружили новую кампанию, в которой хакеры используют поисковую рекламу Google для распространения вредоносного ПО через пакеты MSI (Microsoft Installer). Эта кампания, в которой участвует загрузчик вредоносного ПО, известный как FakeBat, направлена на ничего не подозревающих пользователей, маскируясь под легитимные загрузки программного обеспечения.
Атака начинается с поисковой рекламы Google, которая выглядит легитимной, используя реальный адрес сайта популярного программного обеспечения, такого как Notion. Однако это объявление является фасадом, купленным злоумышленниками, которые постоянно используют идентификаторы, связанные с Казахстаном. При нажатии на объявление происходит перенаправление на похожий сайт, расположенный по адресу notilion[.]co. Сайт предлагает пользователям загрузить стандартный установщик программного обеспечения в формате MSIX, подписанный, как кажется, надежным именем «Forth View Designs Ltd.».
После выполнения MSIX-установщика активируется скрытый вредоносный сценарий PowerShell. Команды PowerShell, выполняемые в ходе этого процесса, предназначены для обхода локальных мер безопасности и внедрения вредоносной программы zgRAT непосредственно в системные процессы, что позволяет получить контроль над зараженной машиной. Для управления эффективностью рекламы и отсеивания нежелательного трафика в кампании используется сервис отслеживания кликов. На этом этапе задействуется домен-посредник, который отделяет вредоносный URL от рекламы Google, что повышает скрытность атаки. После установки вредоносной программы сценарий PowerShell связывается с сервером FakeBat C2, который диктует последующие действия, включая доставку полезной нагрузки zgRAT. Этот инцидент подчеркивает постоянные риски, связанные с вредоносной рекламой, и изощренность современных киберугроз.
Indicators of Compromise
Domains
- sivaspastane.com
- startupzonechanpatia.com
URLs
- https://sivaspastane.com/Notion-x86.msix
SHA256
- 5102b64a838bd84f4273bce2a0bda67df77fdb1a33a2b939988ccb51f2246e07
- 80f4405270b8fd7f557c6831dd2785b55fdee43d48d967401a8b972e147be948
