Hakerzy tworzą reklamę w Google Ads i rozpowszechniają oprogramowanie malware FatalRAT. Podszywają się pod popularną aplikację.
Osoby mówiące po chińsku w południowo-wschodniej i wschodniej Azji są celem nowej kampanii rogue Google Ads. Dystrybuuje ona trojany zdalnego dostępu, takie jak malware FatalRAT, na skompromitowane maszyny.
Ataki skierowane są pod konkretne lokalizacje i w ramach Google Ads. Reklamy wyświetlają się w wynikach wyszukiwania Google i przekierowują użytkowników szukających aplikacji na zainfekowaną stronę internetową.
Firma zabezpieczająca ESET informuje, że obecnie reklamy zostały już usunięte.
Uwaga na malware FatalRAT
Większość ofiar znajduje się na Tajwanie, w Chinach i Hongkongu, a następnie w Malezji, Japonii, na Filipinach, w Tajlandii, Singapurze, Indonezji i Mjanmie. Cele ostateczne cyberprzestępców nie są do końca jasne.
Sprawdź: Cyberzagrożenia: najpopularniejsze rodzaje
Najważniejszym aspektem ataków tego typu jest tworzenie stron internetowych o wyglądzie podobnym do oryginalnych serwisów. Są one też rejestrowane na podobnych domenach, np. zawierających literówki. A mówimy tutaj o takich produktach i usługach jak Google Chrome, Mozilla Firefox, Telegram, WhatsApp, Signal, Skype, Youdao czy WPS Office. Atakujący celowali więc szeroko, można rzecz, po populacji.
W trakcie realizacji oszustwa instalują jedno prawidłowe oprogramowanie, a później wprowadzają ładujący się element, który wykorzystuje FatalRAT. Dzięki temu mają później kontrolę nad komputerem, w tym możliwość uruchamiania aplikacji, przeglądania plików, zbierania danych z przeglądarek internetowych i przechwytywania znaków wpisywanych na klawiaturze.
Fałszywe strony internetowe są zgodne z identycznymi kopiami prawdziwych stron
ostrzega ESET.
Co to jest FatalRAT?
FatalRAT to złośliwe oprogramowanie typu RAT (Remote Access Trojan), które umożliwia atakującemu zdalne kontrolowanie zainfekowanego urządzenia, uzyskiwanie poufnych informacji, przechwytywanie ekranu i włączanie kamery, a także wykonywanie różnych działań bez wiedzy użytkownika. Może to obejmować wykradanie poufnych informacji, takich jak hasła do kont bankowych, adresy e-mail, historię przeglądania, a także infekowanie innych urządzeń poprzez sieć. FatalRAT został wykryty po raz pierwszy w 2018 roku i jest szeroko stosowany przez hakerów do przeprowadzania ataków na użytkowników w różnych częściach świata.
Atak zbliżony do tego z kampanii Purple Fox
Trend Micro ujawnił w zeszłym roku kampanię Purple Fox, która wykorzystywała zanieczyszczone paczki oprogramowania udające Adobe, Google Chrome, Telegram i WhatsApp. Była to kampania propagująca malware FatalRAT.
Zobacz: Na czym polega ochrona tożsamości w internecie
– Nie mogliśmy potwierdzić, czy te dwie kampanie są powiązane – powiedział Matías Porolli, badacz z dziedziny malware w ESET. – Chociaż istnieją pewne podobieństwa (użycie FatalRAT, użycie fałszywych instalatorów), nie znaleźliśmy ich wystarczająco dużo w łańcuchu składników użytych do dostarczenia RAT, ani w infrastrukturze używanej przez atakujących – dodał.