网络安全研究人员发现,恶意软件感染激增,这是由于恶意广告活动分发了名为FakeBat的加载程序。
“这些攻击本质上是机会主义的,针对的是寻求流行商业软件的用户,”Mandiant托管防御团队在一份技术报告中说。“该感染利用了特洛伊木马化的 MSIX 安装程序,该安装程序执行 PowerShell 脚本以下载辅助有效负载。”
FakeBat,也称为 EugenLoader 和 PaykLoader,与名为 Eugenfest 的威胁行为者相关联。Google 拥有的威胁情报团队正在以 NUMOZYLOD 的名义跟踪该恶意软件,并将恶意软件即服务 (MaaS) 操作归咎于 UNC4536。
传播恶意软件的攻击链利用偷渡式下载技术,将搜索流行软件的用户推向虚假的相似网站,这些网站托管着被诱杀的 MSI 安装程序。通过 FakeBat 提供的一些恶意软件家族包括 IcedID、RedLine Stealer、Lumma Stealer、SectopRAT(又名 ArechClient2)和 Carbanak,一种与 FIN7 网络犯罪组织相关的恶意软件。
Mandiant说:“UNC4536的作案手法涉及利用恶意广告来分发伪装成Brave、KeePass、Notion、Steam和Zoom等流行软件的木马化MSIX安装程序。“这些特洛伊木马化的 MSIX 安装程序托管在旨在模仿合法软件托管站点的网站上,引诱用户下载它们。”
