FakeBat Loader 重新出现:恶意 Google Ads 针对 Notion 用户

阅读量34008

发布时间 : 2024-11-11 14:11:21

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/fakebat-loader-reemerges-malicious-google-ads-target-notion-users/

译文仅供参考,具体内容表达以及含义原文为准。

FakeBat loader

臭名昭著的 FakeBat 载入器(又称 Eugenloader 或 PaykLoader)在中断数月后又卷土重来,通过冒充 Notion(一款流行的生产力应用程序)的恶意谷歌广告传播恶意软件。据 Malwarebytes 实验室称,“FakeBat 是一种独特的加载器,曾被用于投放 Lumma stealer 等后续有效载荷”,这表明威胁行为体再次转向恶意广告来分发恶意有效载荷。

这一活动展示了 FakeBat 操作员如何利用谷歌的广告平台来掩饰其恶意意图。最近出现在 “Notion ”搜索结果顶部的一则广告看起来是真实的,带有 Notion 的官方徽标,URL 看起来也是真实的。Malwarebytes 研究人员发现,该广告引导用户进行了一连串复杂的重定向。报告详细指出:“如果用户不是目标受害者,跟踪模板会将他们重定向到合法的 notion.so 网站,”这增加了检测难度。

恶意广告 | 图片: 恶意软件比特实验室

FakeBat 加载器会下载 LummaC2,这是一款功能强大的数据窃取恶意软件,专门用于捕获凭证、cookie 和财务信息。在通过指纹识别躲过安全沙箱后,加载器使用 PowerShell 脚本绕过微软的反恶意软件扫描接口 (AMSI),使其在未被发现的情况下运行。Malwarebytes解释说:“加载器使用.NET Reactor进行混淆,它使用AES解密嵌入式资源,然后通过进程空洞化将其注入MSBuild.exe”,突出了FakeBat用于部署其有效载荷的复杂技术。

Malwarebytes警告说:“通过谷歌广告冒充品牌仍然是个问题,因为任何人都可以利用内置功能来显示合法并诱骗用户下载恶意软件。”

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66