Вредоносное ПО FakeBat

FakeBat, также известный как EugenLoader, — печально известный загрузчик и распространитель программного обеспечения, получивший известность в сфере угроз кибербезопасности. FakeBat был связан с мошенническими рекламными кампаниями не ранее ноября 2022 года.

Хотя точный контент, который FakeBat предоставляет в этих кампаниях, остается неизвестным, этот загрузчик привлек внимание к распространению известных похитителей информации, таких как RedLine , Ursnif и Rhadamathys.

Вредоносное ПО FakeBat распространяется через мошенническую рекламу

Была обнаружена кампания Google Ads, рекламирующая мошеннический сайт загрузки KeePass, использующий Punycode для имитации настоящего веб-сайта KeePass, с целью распространения FakeBat. Google активно борется с проблемой небезопасной рекламы, занимающей видное место в результатах поиска. Что делает эту ситуацию еще более сложной, так это то, что Google Ads может отображать реальный домен KeePass, что затрудняет выявление угрозы.

Когда пользователи нажимают на обманчивую ссылку, они перенаправляются на поддельный сайт KeePass с измененным с помощью Punycode URL-адресом, продуманно разработанным так, чтобы напоминать подлинный. Если пользователи нажимают на ссылки для скачивания, представленные на этом фальшивом сайте, это приводит к установке вредоносного программного обеспечения на их компьютеры.

Этот вид обмана не является новой тактикой, но его использование в сочетании с Google Ads представляет собой новую тенденцию. Связанные с мошенничеством лица используют Punycode для регистрации веб-адресов, которые очень похожи на законные с небольшими изменениями. Эта тактика известна как «атака омографа».

Например, они используют Punycode для преобразования «xn—eepass-vbb.info» во что-то, что очень похоже на «ķeepass.info», с небольшим отличием под символом «k». Большинство людей не сразу замечают эту тонкую разницу. Важно подчеркнуть, что киберпреступники, стоящие за поддельным сайтом загрузки KeePass, также использовали поддельные страницы WinSCP и PyCharm Professional.

Как мы упоминали ранее, основной целью этой кампании является распространение FakeBat, угрожающего распространителя полезной нагрузки. Стоит отметить, что FakeBat использовался для компрометации компьютеров с помощью Redline, Ursniff, Rhadamathys и, возможно, других вредоносных программ, похищающих информацию.

Вредоносная программа Infostealer может украсть широкий спектр данных

Вредоносное ПО для кражи информации представляет собой значительную и широко распространенную угрозу в мире кибербезопасности. Эти угрожающие программы предназначены для тайного проникновения в компьютеры и получения конфиденциальной информации от жертв. Опасности, связанные с вредоносным ПО, похищающим информацию, многогранны. Прежде всего, они ставят под угрозу конфиденциальность и безопасность отдельных лиц и организаций, получая и похищая широкий спектр данных, включая личные идентификационные данные, финансовые учетные данные, данные для входа и даже интеллектуальную собственность. Эти собранные данные могут использоваться для различных небезопасных целей, таких как кража личных данных, финансовое мошенничество и корпоративный шпионаж, что может привести к разрушительным финансовым потерям и репутационному ущербу.

Еще одна серьезная опасность заключается в скрытности вредоносного ПО, ворующего информацию. Эти угрожающие программы часто предназначены для того, чтобы оставаться незамеченными в течение длительного периода времени, что позволяет киберпреступникам постоянно собирать конфиденциальную информацию без ведома жертвы. В результате вредоносное ПО может нанести долгосрочный ущерб и оставить жертв в неведении о взломе до тех пор, пока собранные данные не будут активно использованы. Более того, инфокрады могут использоваться в сочетании с другими формами вредоносного ПО, что делает их частью более обширной стратегии кибератак. Эта сложность затрудняет эффективное обнаружение и борьбу с этими угрозами для специалистов по кибербезопасности, что подчеркивает необходимость надежных мер безопасности и бдительного мониторинга для смягчения потенциальных опасностей, связанных с вредоносным ПО, ворующим информацию.