详细内容或原文请订阅后点击阅览
你好,FakeBat:热门加载器在停用数月后回归
网络浏览器,尤其是搜索引擎,仍然是向用户传播恶意软件的热门入口点。虽然...
来源:Malwarebytes Labs 博客网络浏览器,尤其是搜索引擎,仍然是向用户传播恶意软件的热门入口点。虽然我们注意到过去 3 个月通过恶意广告传播的加载程序有所减少,但今天的例子提醒我们,威胁行为者可以快速切换回久经考验的方法。
几个月不见后,Fakebat(又名 Eugenloader、PaykLoader)再次出现在我们的雷达上,通过谷歌为生产力应用程序 Notion 提供的恶意广告。FakeBat 是一种独特的加载程序,曾用于投放后续有效载荷,例如 Lumma 窃取程序。
在这篇博文中,我们详细介绍了犯罪分子如何瞄准受害者,以及他们在初次感染后传播的最终恶意软件有效载荷是什么。该事件是在本文发表的同一天发现并报告给谷歌的。
谷歌广告分发
我们最后一次看到 FakeBat 是在 2024 年 7 月 25 日,通过流行的在线调度应用程序 Calendly 的恶意广告。在这种情况下,FakeBat 的命令和控制基础设施从 utd-gochisu[.]com 运行。
utd-gochisu[.]com快进到 2024 年 11 月 8 日,我们在 Google 搜索“notion”的顶部看到了一个广告。该赞助结果看起来完全真实,带有官方徽标和网站。我们已经知道,犯罪分子只需使用点击跟踪器(或跟踪模板)即可冒充他们喜欢的任何品牌,以绕过检测。
根据 Google 的广告透明度中心,Notion 广告显示在以下地理位置:
以下是从广告 URL 到有效负载的网络流量。我们可以看到跟踪模板 (smart.link) 的使用,然后是隐藏域 (solomonegbe[.]com),最后进入诱饵网站 (notion[.]ramchhaya.com):
smart.link solomonegbe[.]com notion[.]ramchhaya.com为什么这样做可以绕过 Google?可能是因为如果用户不是预期受害者,跟踪模板会将他们重定向到合法的 notion.so 网站。
notion.so