Des détails ont été révélés sur une campagne de publicité malveillante qui exploite Google Ads pour diriger les utilisateurs recherchant des logiciels populaires vers des pages de destination fictives et distribuer les charges utiles de l’étape suivante.
Malwarebytes, qui a découvert l’activité, dit il est « unique dans sa manière de prendre les empreintes digitales des utilisateurs et de distribuer des charges utiles sensibles au temps ».
L’attaque cible les utilisateurs recherchant des convertisseurs Notepad++ et PDF pour diffuser de fausses publicités sur la page de résultats de recherche Google qui, lorsqu’ils sont cliqués, filtrent les robots et autres adresses IP involontaires en affichant un site leurre.
Si le visiteur est jugé intéressant pour l’acteur malveillant, la victime est redirigée vers une réplique de site Web annonçant le logiciel, tout en prenant silencieusement les empreintes digitales du système pour déterminer si la demande provient d’une machine virtuelle.
Les utilisateurs qui échouent à la vérification sont redirigés vers le site Web légitime Notepad++, tandis qu’une cible potentielle se voit attribuer un identifiant unique à « des fins de suivi mais aussi pour rendre chaque téléchargement unique et sensible au temps ».
Le malware de dernière étape est une charge utile HTA qui établit une connexion à un domaine distant (« mybigeye[.]icu ») sur un port personnalisé et diffuse des logiciels malveillants ultérieurs.
« Les auteurs de menaces appliquent avec succès des techniques d’évasion qui contournent les contrôles de vérification des publicités et leur permettent de cibler certains types de victimes », a déclaré Jérôme Segura, directeur du renseignement sur les menaces.
« Avec une chaîne de diffusion de malware fiable en main, les acteurs malveillants peuvent se concentrer sur l’amélioration de leurs pages leurres et créer des charges utiles de malware personnalisées. »
La divulgation chevauche une campagne similaire qui cible les utilisateurs recherchant le gestionnaire de mots de passe KeePass avec des publicités malveillantes qui dirigent les victimes vers un domaine utilisant Code Puny (garder passe[.]info vs ķeepass[.]info), un encodage spécial utilisé pour convertir les caractères Unicode en ASCII.
« Les personnes qui cliquent sur l’annonce seront redirigées via un service de masquage destiné à filtrer les bacs à sable, les robots et toute personne non considérée comme une véritable victime », a déclaré Segura. noté. « Les auteurs de la menace ont créé un domaine temporaire sur keepastacking[.]site qui effectue la redirection conditionnelle vers la destination finale. »
Les utilisateurs qui atterrissent sur le site leurre sont amenés à télécharger un programme d’installation malveillant qui conduit finalement à l’exécution de FakeBat (alias EugenLoader), un chargeur conçu pour télécharger d’autres codes malveillants.
L’abus de Punycode n’est pas entièrement nouveau, mais le combiner avec des publicités malveillantes de Google est le signe que la publicité malveillante via les moteurs de recherche devient de plus en plus sophistiquée. En utilisant Punycode pour enregistrer des noms de domaine similaires en tant que site légitime, l’objectif est de réaliser un attaque d’homographe et inciter les victimes à installer des logiciels malveillants.
« Bien que le Punycode avec des noms de domaine internationalisés soit utilisé depuis des années par des acteurs malveillants contre les victimes de phishing, il montre à quel point il reste efficace dans le contexte de l’usurpation d’identité de marque via la publicité malveillante », a déclaré Segura.
En parlant de supercherie visuelle, plusieurs acteurs de la menace – TA569 (alias SocGholish), RogueRaticate (FakeSG), ZPHP (SmartApeSG), ClearFake et EtherHiding – ont été observés profitant de thèmes liés aux fausses mises à jour de navigateur pour propager Cobalt Strike, les chargeurs et les voleurs. , et les chevaux de Troie d’accès à distance, signe que ces attaques constituent une menace constante et évolutive.
« Les fausses mises à jour du navigateur abusent de la confiance des utilisateurs finaux avec des sites Web compromis et un leurre personnalisé pour le navigateur de l’utilisateur pour légitimer la mise à jour et inciter les utilisateurs à cliquer », a déclaré Dusty Miller, chercheur à Proofpoint. dit dans une analyse publiée cette semaine.
« La menace réside uniquement dans le navigateur et peut être initiée par un clic provenant d’un e-mail légitime et attendu, d’un site de réseau social, d’une requête sur un moteur de recherche ou même simplement en naviguant vers le site compromis. »