Китайскоязычные пользователи стали мишенью вредоносной рекламы Google в приложениях для обмена сообщениями с ограниченным доступом, таких как Telegram, в рамках продолжающейся рекламной кампании.
"Злоумышленник злоупотребляет учетными записями рекламодателей Google для создания вредоносной рекламы и направляет их на страницы, где ничего не подозревающие пользователи загружают вместо этого троянца удаленного администрирования (RATs)", - сказал Жером Сегура из Malwarebytes в отчете за четверг. "Такие программы дают злоумышленнику полный контроль над компьютером жертвы и возможность размещать дополнительные вредоносные программы".
Стоит отметить, что активность под кодовым названием FakeApp является продолжением предыдущей волны атак, нацеленной на пользователей из Гонконга, которые искали в поисковых системах приложения для обмена сообщениями, такие как WhatsApp и Telegram, в конце октября 2023 года.
Последняя итерация кампании также добавляет строку приложения для обмена сообщениями в список приложений для обмена сообщениями, перенаправляя пользователей на поддельные веб-сайты, размещенные в Google Docs или Google Sites.
Инфраструктура Google используется для встраивания ссылок на другие сайты, находящиеся под контролем злоумышленника, с целью доставки вредоносных установочных файлов, которые в конечном итоге внедряют троянские программы, такие как PlugX и Gh0st RAT.
Malwarebytes заявила, что отслеживает мошенническую рекламу до двух учетных записей рекламодателей с именами Interactive Communication Team Limited и Ringier Media Nigeria Limited, базирующихся в Нигерии.
"Также похоже, что субъект угрозы отдает предпочтение количеству, а не качеству, постоянно внедряя новые полезные нагрузки и инфраструктуру в качестве командования и контроля", - сказал Сегура.
Разработка началась после того, как Trustwave SpiderLabs сообщила о всплеске использования платформы "фишинг как услуга" (PhaaS) под названием Greatness для создания страниц сбора учетных данных, выглядящих законно, предназначенных для пользователей Microsoft 365.
"Набор позволяет персонализировать имена отправителей, адреса электронной почты, темы, сообщения, вложения и QR-коды, повышая релевантность и вовлеченность", - сказали в компании, добавив, что он поставляется с мерами защиты от обнаружения, такими как рандомизация заголовков, кодирование и обфускация, направленные на обход спам-фильтров и систем безопасности.
Greatness предлагается для продажи другим криминальным структурам за 120 долларов в месяц, что эффективно снижает барьер для входа и помогает им проводить масштабные атаки.
Цепочки атак включают отправку фишинговых электронных писем с вредоносными HTML-вложениями, которые при открытии получателями перенаправляют их на поддельную страницу входа, которая фиксирует введенные учетные данные и передает информацию субъекту угрозы через Telegram.
Другие последовательности заражения использовали вложения для размещения вредоносного ПО на компьютере жертвы, чтобы облегчить кражу информации.
Чтобы повысить вероятность успеха атаки, сообщения электронной почты подделывают надежные источники, такие как банки и работодатели, и создают ложное ощущение срочности, используя такие темы, как "срочные платежи по счету" или "требуется срочная верификация аккаунта".
"На данный момент количество жертв неизвестно, но Greatness широко используется и хорошо поддерживается, а собственное сообщество Telegram предоставляет информацию о том, как пользоваться комплектом, а также дополнительные советы и хитрости", - сказали в Trustwave.
Также были замечены фишинговые атаки на южнокорейские компании, использующие приманки, которые выдают себя за технологические компании, такие как Kakao, для распространения в асинхронном режиме через вредоносные файлы ярлыков Windows (LNK).
"Вредоносные файлы быстрого доступа, замаскированные под подлинные документы, постоянно распространяются", - сказал Центр анализа безопасности AhnLab (ASEC). "Пользователи могут ошибочно принять файл быстрого доступа за обычный документ, поскольку расширение ".LNK" не отображается в названиях файлов".
"Злоумышленник злоупотребляет учетными записями рекламодателей Google для создания вредоносной рекламы и направляет их на страницы, где ничего не подозревающие пользователи загружают вместо этого троянца удаленного администрирования (RATs)", - сказал Жером Сегура из Malwarebytes в отчете за четверг. "Такие программы дают злоумышленнику полный контроль над компьютером жертвы и возможность размещать дополнительные вредоносные программы".
Стоит отметить, что активность под кодовым названием FakeApp является продолжением предыдущей волны атак, нацеленной на пользователей из Гонконга, которые искали в поисковых системах приложения для обмена сообщениями, такие как WhatsApp и Telegram, в конце октября 2023 года.
Последняя итерация кампании также добавляет строку приложения для обмена сообщениями в список приложений для обмена сообщениями, перенаправляя пользователей на поддельные веб-сайты, размещенные в Google Docs или Google Sites.
Инфраструктура Google используется для встраивания ссылок на другие сайты, находящиеся под контролем злоумышленника, с целью доставки вредоносных установочных файлов, которые в конечном итоге внедряют троянские программы, такие как PlugX и Gh0st RAT.
Malwarebytes заявила, что отслеживает мошенническую рекламу до двух учетных записей рекламодателей с именами Interactive Communication Team Limited и Ringier Media Nigeria Limited, базирующихся в Нигерии.
"Также похоже, что субъект угрозы отдает предпочтение количеству, а не качеству, постоянно внедряя новые полезные нагрузки и инфраструктуру в качестве командования и контроля", - сказал Сегура.
Разработка началась после того, как Trustwave SpiderLabs сообщила о всплеске использования платформы "фишинг как услуга" (PhaaS) под названием Greatness для создания страниц сбора учетных данных, выглядящих законно, предназначенных для пользователей Microsoft 365.
"Набор позволяет персонализировать имена отправителей, адреса электронной почты, темы, сообщения, вложения и QR-коды, повышая релевантность и вовлеченность", - сказали в компании, добавив, что он поставляется с мерами защиты от обнаружения, такими как рандомизация заголовков, кодирование и обфускация, направленные на обход спам-фильтров и систем безопасности.
Greatness предлагается для продажи другим криминальным структурам за 120 долларов в месяц, что эффективно снижает барьер для входа и помогает им проводить масштабные атаки.
Цепочки атак включают отправку фишинговых электронных писем с вредоносными HTML-вложениями, которые при открытии получателями перенаправляют их на поддельную страницу входа, которая фиксирует введенные учетные данные и передает информацию субъекту угрозы через Telegram.
Другие последовательности заражения использовали вложения для размещения вредоносного ПО на компьютере жертвы, чтобы облегчить кражу информации.
Чтобы повысить вероятность успеха атаки, сообщения электронной почты подделывают надежные источники, такие как банки и работодатели, и создают ложное ощущение срочности, используя такие темы, как "срочные платежи по счету" или "требуется срочная верификация аккаунта".
"На данный момент количество жертв неизвестно, но Greatness широко используется и хорошо поддерживается, а собственное сообщество Telegram предоставляет информацию о том, как пользоваться комплектом, а также дополнительные советы и хитрости", - сказали в Trustwave.
Также были замечены фишинговые атаки на южнокорейские компании, использующие приманки, которые выдают себя за технологические компании, такие как Kakao, для распространения в асинхронном режиме через вредоносные файлы ярлыков Windows (LNK).
"Вредоносные файлы быстрого доступа, замаскированные под подлинные документы, постоянно распространяются", - сказал Центр анализа безопасности AhnLab (ASEC). "Пользователи могут ошибочно принять файл быстрого доступа за обычный документ, поскольку расширение ".LNK" не отображается в названиях файлов".
