臭名昭著的 FakeBat 载入器(又称 Eugenloader 或 PaykLoader)在中断数月后又卷土重来,通过冒充 Notion(一款流行的生产力应用程序)的恶意谷歌广告传播恶意软件。据 Malwarebytes 实验室称,“FakeBat 是一种独特的加载器,曾被用于投放 Lumma stealer 等后续有效载荷”,这表明威胁行为体再次转向恶意广告来分发恶意有效载荷。
这一活动展示了 FakeBat 操作员如何利用谷歌的广告平台来掩饰其恶意意图。最近出现在 “Notion ”搜索结果顶部的一则广告看起来是真实的,带有 Notion 的官方徽标,URL 看起来也是真实的。Malwarebytes 研究人员发现,该广告引导用户进行了一连串复杂的重定向。报告详细指出:“如果用户不是目标受害者,跟踪模板会将他们重定向到合法的 notion.so 网站,”这增加了检测难度。
恶意广告 | 图片: 恶意软件比特实验室
FakeBat 加载器会下载 LummaC2,这是一款功能强大的数据窃取恶意软件,专门用于捕获凭证、cookie 和财务信息。在通过指纹识别躲过安全沙箱后,加载器使用 PowerShell 脚本绕过微软的反恶意软件扫描接口 (AMSI),使其在未被发现的情况下运行。Malwarebytes解释说:“加载器使用.NET Reactor进行混淆,它使用AES解密嵌入式资源,然后通过进程空洞化将其注入MSBuild.exe”,突出了FakeBat用于部署其有效载荷的复杂技术。
Malwarebytes警告说:“通过谷歌广告冒充品牌仍然是个问题,因为任何人都可以利用内置功能来显示合法并诱骗用户下载恶意软件。”
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容