Компания Malwarebytes сообщила, что в феврале 2024 года количество инцидентов с вредоносной рекламой на основе поиска увеличилось почти вдвое. Одно из отслеживаемых семейств вредоносных программ - FakeBat, которое использует MSIX-установщики, упакованные с сильно обфусцированным кодом PowerShell.
Вредоносная компания, распространяющая это вредоносное ПО, злоупотребляла сервисами сокращения URL-адресов, но теперь стала использовать легитимные веб-сайты, которые, судя по всему, были взломаны. Последние кампании направлены на различные бренды, включая OneNote, Epic Games, Ginger и приложение для смарт-кошельков Braavos. Каждый загруженный файл представляет собой установщик MSIX, подписанный действительным цифровым сертификатом, и после извлечения каждый установщик содержит более или менее одинаковые файлы с определенным сценарием PowerShell. При запуске программы установки этот сценарий PowerShell выполняется и подключается к командно-контрольному серверу злоумышленника. Злоумышленник может создать условный редирект на свой вредоносный сайт, а интересующие его жертвы будут занесены в каталог для дальнейшего использования. Полную цепочку заражения можно представить в виде изображения веб-трафика, приведенного в статье. Распространителям вредоносного ПО удается обойти проверки безопасности Google и перенаправить жертв на сайты-обманки.
Indicators of Compromise
IPv4
- 62.204.41.98
Domains
- ads-analyze.site
- ads-analyze.top
- ads-analyze.xyz
- ads-change.online
- ads-change.site
- ads-change.top
- ads-change.xyz
- ads-creep.top
- ads-creep.xyz
- ads-eagle.top
- ads-eagle.xyz
- ads-hoop.top
- ads-hoop.xyz
- ads-moon.top
- ads-moon.xyz
- ads-pill.top
- ads-pill.xyz
- ads-star.online
- ads-star.site
- ads-star.top
- ads-star.xyz
- ads-strong.online
- ads-strong.site
- ads-strong.top
- ads-strong.xyz
- ads-tooth.top
- ads-tooth.xyz
- ads-work.site
- ads-work.top
- ads-work.xyz
- bandi-cam.cc
- blcnder.org
- breavas.app
- cecar.com.ar
- disenoymas.com.ar
- epicgames-store.org
- estiloplus.tur.ar
- noitons.net
- obs-software.cc
- onenote-download.com
- open-project.org
- trelconf.com
- trelconf.net
URLs
- http://avr-energie.com/Notion%20Setup%203.2.1.msix
- http://avr-energie.com/Trello-Full-Installer-x64.msix
- http://bezynet.com/Bandicam_7.21_win64.msix
- http://bezynet.com/OBS-Studio-30.0.2-Full-Installer-x64.msix
- http://church-notes.com/Braavos-Wallet.msix
- http://church-notes.com/Epic-Games_Setup.msix
- http://church-notes.com/Onenote_setup.msix
SHA256
- 07b0c5e7d77629d050d256fa270d21a152b6ef8409f08ecc47899253aff78029
- 0d906e43ddf453fd55c56ccd6132363ef4d66e809d5d8a38edea7622482c1a7a
- 15ce7b4e6decad4b78fe6727d97692a8f5fd13d808da18cb9d4ce51801498ad8
- 40c9b735d720eeb83c85aae8afe0cc136dd4a4ce770022a221f85164a5ff14e5
- b2e8277064af7791a3a73479ff2f2c45be3591c96567addb9421faed3dc7e2be
- d6a6b73c273c508417898c02a142c496158ad2d0432495bff3a4f94f574d5bc4
- f7fbf33708b385d27469d925ca1b6c93b2c2ef680bc4096657a1f9a30e4b5d18
