ESET 發現針對香港等地區的多個假冒應用程式 附有特洛伊木馬
- ESET 研究人員發現了一個針對東南亞和東亞地區的惡意軟件。
- 黑客購買廣告,將假冒網站放置在 Google 搜索結果的「廣告」位置。ESET 向 Google 作出匯報後,這些廣告已被立即刪除。
- 從這個網站下載的安裝程式大多是中文版本,部分不在中國地區提供下載。
- 我們觀察到受害者主要在東南亞和東亞(馬來西亞、日本、菲律賓、泰國、新加坡、印度尼西亞、緬甸、中國大陸、香港和台灣)。
- 今次傳播的惡意軟件是 FatalRAT,是一種遙距存取木馬,可以在受害者的裝置上執行各種惡意活動。
2023 年 2 月 16 日 - ESET 研究人員發現了一個針對東南亞和東亞地區的惡意軟件,通過購買誤導性廣告出現在 Google 搜索結果中,從而誘導用戶下載附有木馬的安裝程式。黑客製作了與 Firefox、WhatsApp、Signal、Skype 和 Telegram 等流行應用程式外觀相似的假冒網站,傳播一種名為 FatalRAT 的惡意軟件,它是一種遙距存取木馬,讓黑客可以控制受害者的裝置。今次的攻擊主要影響中國大陸、香港和台灣用戶。
FatalRAT 可以在受害者的裝置上執行各種惡意活動,包括捕獲按键點擊、竊取或刪除某些瀏覽器儲存的數據,以及下載和執行文件。ESET 研究人員在 2022 年 8 月至 2023 年 1 月期間觀察到今次的攻擊,但根據我們的測量,此波攻擊至少從 2022 年 5 月開始。
黑客註冊了各種域名,這些域名都指向同一個 IP 地址,讓一個伺服器託管多個下載木馬軟件的網站。假冒網站看起來與正版網站相同,黑容更將這些網站翻譯成中文,提供原本在中國地區未能下載的軟件,例如 Telegram。一家中文新聞網站報導說,他們在使用 Firefox 瀏覽器時,會看到一則指向這些惡意網站的 Google 廣告。黑客購買了廣告,將假冒網站放置在 Google 搜索結果的「廣告」位置。ESET 向 Google 作出匯報後,這些廣告已被立即刪除。
ESET 研究員 Matías Porolli 解釋:「雖然我們無法重現此類搜索結果,但我們相信這些廣告只提供給目標地區的用戶。由於攻擊者為其網站註冊的許多域名與合法域非常相似,黑客也有可能依靠 URL 劫持來吸引潛在受害者到訪他們的網站。黑客可能只對竊取網絡憑據等信息感興趣,以便在地下論壇出售它們,或將它們用於另一種類型的犯罪活動。最後,在下載軟件之前,檢查我們正在瀏覽的 URL 是十分重要的。」
ESET 在 2022 年 8 月至 2023 年 1 月期間檢測到攻擊的國家 / 地區