Chinesischsprachige Benutzer wurden im Rahmen einer laufenden Malvertising-Kampagne mit bösartigen Google-Anzeigen für eingeschränkte Messaging-Apps wie Telegram angegriffen. Laut einem Bericht von Malwarebytes missbraucht der Bedrohungsakteur Google-Werbebenutzerkonten, um bösartige Anzeigen zu erstellen und auf Seiten zu verweisen, auf denen ahnungslose Benutzer stattdessen Remote Administration Trojan (RATs) herunterladen. Solche Programme geben einem Angreifer die volle Kontrolle über das Gerät eines Opfers und die Fähigkeit, zusätzliche Malware zu installieren. Es ist erwähnenswert, dass die Aktivität mit dem Codenamen FakeAPP eine Fortsetzung einer früheren Angriffswelle ist, die Ende Oktober 2023 Hongkonger Benutzer betraf, die nach Messaging-Apps wie WhatsApp und Telegram in Suchmaschinen suchten. In der neuesten Version der Kampagne wird auch die Messaging-App LINE zur Liste der Messaging-Apps hinzugefügt und Benutzer werden auf gefälschte Websites weitergeleitet, die auf Google Docs oder Google Sites gehostet werden. Die Google-Infrastruktur wird verwendet, um Links zu anderen Sites unter Kontrolle des Bedrohungsakteurs einzubetten, um die bösartigen Installer-Dateien bereitzustellen, die schließlich Trojaner wie PlugX und Gh0st RAT installieren. Laut Malwarebytes wurden die betrügerischen Anzeigen auf zwei Werbenutzerkonten namens Interactive Communication Team Limited und Ringier Media Nigeria Limited zurückverfolgt, die in Nigeria ansässig sind. Es scheint auch, dass der Bedrohungsakteur Menge vor Qualität bevorzugt, indem er ständig neue Paylods und Infrastruktur als Command-and-Control bereitstellt. Eine weitere Entwicklung im Zusammenhang damit ist der Anstieg der Verwendung einer Phishing-as-a-Service-Plattform namens Greatness, um legitime Anmeldeinformationen zu ernten und dabei legitime Aussehende Seiten zu erstellen, die auf Microsoft 365-Benutzer abzielen. Das Set ermöglicht die Personalisierung von Absendernamen, E-Mail-Adressen, Betreffzeilen, Nachrichten, Anhängen und QR-Codes, um Relevanz und Engagement zu erhöhen. Es umfasst auch Anti-Erkennungsmaßnahmen wie das Zufälligkeiten von Headern, Kodierung und Verschleierung, um Spamfilter und Sicherheitssysteme zu umgehen. Greatness wird für 120 US-Dollar pro Monat an andere kriminelle Akteure verkauft, wodurch die Eintrittsbarriere gesenkt wird und ihnen geholfen wird, Angriffe im großen Maßstab durchzuführen. Angriffsketten beinhalten das Versenden von Phishing-E-Mails mit bösartigen HTML-Anhängen, die, wenn sie von den Empfängern geöffnet werden, diese zu einer gefälschten Login-Seite leiten, auf der die eingegebenen Anmeldeinformationen erfasst und an den Bedrohungsakteur über Telegram weitergeleitet werden. Andere Infektionssequenzen haben die Anhänge genutzt, um Malware auf dem Gerät des Opfers abzusetzen und den Diebstahl von Informationen zu ermöglichen. Um die Erfolgschancen des Angriffs zu erhöhen, fälschen die E-Mail-Nachrichten vertrauenswürdige Quellen wie Banken und Arbeitgeber und erzeugen mit Betreffzeilen wie „dringende Rechnungszahlungen“ oder „dringende Kontoverifizierung erforderlich“ ein falsches Gefühl von Dringlichkeit. Die Anzahl der Opfer ist derzeit unbekannt, aber Greatness wird weit verbreitet und gut unterstützt und hat eine eigene Telegram-Community, die Informationen zur Bedienung des Sets sowie zusätzliche Tipps und Tricks bereitstellt. Es wurden auch Phishing-Angriffe beobachtet, die südkoreanische Unternehmen mit Ködern imitieren, die Technologieunternehmen wie Kakao vorgeben, um über bösartige Windows-Verknüpfungen (LNK-Dateien) AsyncRAT zu verbreiten. „Bösartige Verknüpfungsdateien, die als legitime Dokumente getarnt sind, werden kontinuierlich verteilt“, sagte das AhnLab Security Intelligence Center (ASEC). „Benutzer können die Verknüpfungsdatei fälschlicherweise für ein normales Dokument halten, da die ‚.LNK‘-Erweiterung nicht in den Dateinamen sichtbar ist.“