One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8466898 |
| Date de publication | 2024-03-19 19:15:33 (vue: 2024-03-19 20:09:16) |
| Titre | Fakebat livré via plusieurs campagnes de malvertising actives FakeBat Delivered via Several Active Malvertising Campaigns |
| Texte | #### Description
MalwareBytes a rapporté que le nombre d'incidents de malvertising basés sur la recherche a presque doublé en février 2024. Une famille de logiciels malveillants qui a été suivi est FakeBat, qui utilise des installateurs MSIX emballés avec du code PowerShell fortement obscurci.
Le malvertiser distribuant les logiciels malveillants abusait des services de raccourcisseurs d'URL, mais a maintenant commencé à utiliser des sites Web légitimes qui semblent avoir été compromis.Les dernières campagnes ciblent de nombreuses marques différentes, notamment OneNote, Epic Games, Ginger et l'application Braavos Smart Wallet.Chaque fichier téléchargé est un installateur MSIX signé avec un certificat numérique valide, et une fois extrait, chaque installateur contient plus ou moins les mêmes fichiers avec un script PowerShell particulier.Lorsque l'installateur est exécuté, ce script PowerShell s'exécutera et se connectera au serveur de commande et de contrôle de l'attaquant \\.L'acteur de menace est en mesure de servir une redirection conditionnelle vers leur propre site malveillant, et les victimes d'intérêt seront cataloguées pour une utilisation ultérieure.La chaîne d'infection complète peut être résumé dans l'image du trafic Web vu dans l'article.Les distributeurs de logiciels malveillants sont en mesure de contourner les contrôles de sécurité de Google \\ et de rediriger les victimes vers la tromperie des sites Web.
#### URL de référence (s)
1. https://www.malwarebytes.com/blog/thereat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaignes
#### Date de publication
12 mars 2024
#### Auteurs)
J & eacute; r & ocirc; moi segura
#### Description Malwarebytes has reported that the number of search-based malvertising incidents almost doubled in February 2024. One malware family that has been tracked is FakeBat, which uses MSIX installers packaged with heavily obfuscated PowerShell code. The malvertiser distributing the malware was abusing URL shortener services, but has now started to use legitimate websites that appear to have been compromised. The latest campaigns are targeting many different brands, including OneNote, Epic Games, Ginger, and the Braavos smart wallet application. Each downloaded file is an MSIX installer signed with a valid digital certificate, and once extracted, each installer contains more or less the same files with a particular PowerShell script. When the installer is run, this PowerShell script will execute and connect to the attacker\'s command and control server. The threat actor is able to serve a conditional redirect to their own malicious site, and victims of interest will be cataloged for further use. The full infection chain can be summarized in the web traffic image seen in the article. The malware distributors are able to bypass Google\'s security checks and redirect victims to deceiving websites. #### Reference URL(s) 1. https://www.malwarebytes.com/blog/threat-intelligence/2024/03/fakebat-delivered-via-several-active-malvertising-campaigns #### Publication Date March 12, 2024 #### Author(s) Jérôme Segura |
| Envoyé | Oui |
| Condensat | #### 2024 able abusing active actor almost appear application are article attacker author based been braavos brands but bypass campaigns can cataloged certificate chain checks code com/blog/threat command compromised conditional connect contains control date deceiving delivered description different digital distributing distributors doubled downloaded each epic execute extracted fakebat family february file files full further games ginger google has have heavily https://www image incidents including infection installer installers intelligence/2024/03/fakebat interest jérôme latest legitimate less malicious malvertiser malvertising malware malwarebytes many march more msix now number obfuscated once one onenote own packaged particular powershell publication redirect reference reported run same script search security seen segura serve server services several shortener signed site smart started summarized targeting threat tracked traffic url use uses valid victims wallet web websites when which will |
| Tags | Malware Threat |
| Stories | |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.