ESET 發現針對香港等地區的多個假冒應用程式 附有特洛伊木馬

• ESET 研究人員發現了一個針對東南亞和東亞地區的惡意軟件。
• 黑客購買廣告，將假冒網站放置在 Google 搜索結果的「廣告」位置。ESET 向 Google 作出匯報後，這些廣告已被立即刪除。
• 從這個網站下載的安裝程式大多是中文版本，部分不在中國地區提供下載。
• 我們觀察到受害者主要在東南亞和東亞（馬來西亞、日本、菲律賓、泰國、新加坡、印度尼西亞、緬甸、中國大陸、香港和台灣）。
• 今次傳播的惡意軟件是 FatalRAT，是一種遙距存取木馬，可以在受害者的裝置上執行各種惡意活動。

2023 年 2 月 16 日 – ESET 研究人員發現了一個針對東南亞和東亞地區的惡意軟件，通過購買誤導性廣告出現在 Google 搜索結果中，從而誘導用戶下載附有木馬的安裝程式。黑客製作了與 Firefox、WhatsApp、Signal、Skype 和 Telegram 等流行應用程式外觀相似的假冒網站，傳播一種名為 FatalRAT 的惡意軟件，它是一種遙距存取木馬，讓黑客可以控制受害者的裝置。今次的攻擊主要影響中國大陸、香港和台灣用戶。

FatalRAT 可以在受害者的裝置上執行各種惡意活動，包括捕獲按键點擊、竊取或刪除某些瀏覽器儲存的數據，以及下載和執行文件。ESET 研究人員在 2022 年 8 月至 2023 年 1 月期間觀察到今次的攻擊，但根據我們的測量，此波攻擊至少從 2022 年 5 月開始。

黑客註冊了各種域名，這些域名都指向同一個 IP 地址，讓一個伺服器託管多個下載木馬軟件的網站。假冒網站看起來與正版網站相同，黑容更將這些網站翻譯成中文，提供原本在中國地區未能下載的軟件，例如 Telegram。一家中文新聞網站報導說，他們在使用 Firefox 瀏覽器時，會看到一則指向這些惡意網站的 Google 廣告。黑客購買了廣告，將假冒網站放置在 Google 搜索結果的「廣告」位置。ESET 向 Google 作出匯報後，這些廣告已被立即刪除。

ESET 研究員 Matías Porolli 解釋：「雖然我們無法重現此類搜索結果，但我們相信這些廣告只提供給目標地區的用戶。由於攻擊者為其網站註冊的許多域名與合法域非常相似，黑客也有可能依靠 URL 劫持來吸引潛在受害者到訪他們的網站。黑客可能只對竊取網絡憑據等信息感興趣，以便在地下論壇出售它們，或將它們用於另一種類型的犯罪活動。最後，在下載軟件之前，檢查我們正在瀏覽的 URL 是十分重要的。」

ESET 在 2022 年 8 月至 2023 年 1 月期間檢測到攻擊的國家 / 地區