Onderzoekers van ESET ontdekten een malwarecampagne, gericht op Chineessprekenden in Zuidoost- en Oost-Azië door middel van misleidende advertenties die in Google’s zoekresultaten verschijnen en die het downloaden van Trojan-installatieprogramma’s mogelijk maken. De aanvallers maakten nepwebsites, identiek aan die van populaire apps zoals Firefox, WhatsApp, Signal, Skype en Telegram, maar waarin, naast de legitieme software ook FatalRAT zit, een trojan voor externe toegang waarmee de computer van het slachtoffer kan gecontroleerd worden.
● Onderzoekers van ESET ontdekten een malwarecampagne gericht op Chineessprekenden in Zuidoost- en Oost-Azië.
● Aanvallers kopen advertenties om hun websites in het ‘gesponsorde’ deel van de zoekresultaten van Google te positioneren. ESET meldde dit en Google verwijderde ze snel.
● Websites en installatieprogramma’s die zo worden gedownload, zijn voornamelijk in het Chinees en bieden Chinese versies van software die in China niet beschikbaar is.
● ESET vond vooral slachtoffers in Zuidoost- en Oost-Azië, wat suggereert dat de advertenties voor deze regio’s waren bedoeld.
● De verspreidde malware is FatalRAT, een trojan voor externe toegang die functies biedt om verschillende kwaadaardige activiteiten uit te voeren op de computer van slachtoffers.
BRATISLAVA, MONTREAL, 17 februari 2023 — Onderzoekers van ESET ontdekten een malwarecampagne, gericht op Chineessprekenden in Zuidoost- en Oost-Azië door middel van misleidende advertenties die in Google’s zoekresultaten verschijnen en die het downloaden van Trojan-installatieprogramma’s mogelijk maken. De aanvallers maakten nepwebsites, identiek aan die van populaire apps zoals Firefox, WhatsApp, Signal, Skype en Telegram, maar waarin, naast de legitieme software ook FatalRAT zit, een trojan voor externe toegang waarmee de computer van het slachtoffer kan gecontroleerd worden. De aanvallen treffen vooral China, Hongkong, Taiwan, maar ook Zuidoost-Azië en Japan.
FatalRAT biedt een reeks functies om verschillende kwaadaardige activiteiten uit te voeren op de computer van het slachtoffer. De malware kan onder andere toetsaanslagen vastleggen, gegevens stelen of verwijderen die door bepaalde browsers zijn opgeslagen en bestanden downloaden en uitvoeren. ESET Research observeerde dit tussen augustus 2022 en januari 2023, maar volgens zijn telemetrie zijn eerdere versies van deze programma’s in gebruik sinds ten minste mei 2022.
De aanvallers registreerden verschillende domeinnamen die naar hetzelfde IP-adres verwijzen: een server waarop meerdere websites gehost zijn die Trojaanse paarden downloaden. De meeste van deze sites zien er net uit als de legitieme, maar ze installeren kwaadaardige programma’s. De andere sites, wellicht door de aanvallers vertaald, bieden Chinese versies van software zoals Telegram, die in China niet beschikbaar is. In theorie kunnen slachtoffers op verschillende wijze naar deze valse sites worden gelokt. Een nieuwssite in het Chinees meldde dat er een advertentie was die, bij het zoeken naar de Firefox-browser in Google, naar een van deze kwaadaardige sites leidde. Aanvallers kochten advertenties om hun kwaadaardige sites in het ‘gesponsorde’ deel van de zoekresultaten van Google te plaatsen; ESET meldde dit aan Google die ze snel verwijderde.
“Hoewel we dergelijke zoekresultaten momenteel niet kunnen reproduceren, denken we dat de advertenties alleen werden getoond aan gebruikers in de bedoelde regio”, zegt Matías Porolli, de ESET-onderzoeker die de campagne ontdekte. “Daar de vele domeinnamen die door de aanvallers voor hun sites werden geregistreerd sterk op legitieme domeinen lijken, is het mogelijk dat aanvallers zich baseren op URL-kaping om potentiële slachtoffers naar hun websites te lokken”, verduidelijkt hij.
“Aanvallers zijn mogelijk enkel geïnteresseerd in het stelen van informatie, zoals web-IDs, om deze te verkopen op ondergrondse fora of om ze voor andere soorten criminele campagnes te gebruiken. Momenteel is het echter niet mogelijk deze campagne specifiek toe te schrijven aan een bekende of nieuwe speler”, legt Porolli uit en hij adviseert: “Het is belangrijk om de URL die we bezoeken te controleren vooraleer we software downloaden. Beter nog, plaats het in de adresbalk van je browser nadat je hebt geverifieerd dat het inderdaad de site van de provider is”.
Meer technische informatie over deze campagne is te vinden in de blog “These aren’t the apps you’re looking for: Fake installers targeting Southeast and East Asia” op www.welivesecurity.com. Volg zeker ook ESET Research on Twitter voor nieuws over ESET Research.
