臭名昭著的 FakeBat 载入器（又称 Eugenloader 或 PaykLoader）在中断数月后又卷土重来，通过冒充 Notion（一款流行的生产力应用程序）的恶意谷歌广告传播恶意软件。据 Malwarebytes 实验室称，“FakeBat 是一种独特的加载器，曾被用于投放 Lumma stealer 等后续有效载荷”，这表明威胁行为体再次转向恶意广告来分发恶意有效载荷。

这一活动展示了 FakeBat 操作员如何利用谷歌的广告平台来掩饰其恶意意图。最近出现在 “Notion ”搜索结果顶部的一则广告看起来是真实的，带有 Notion 的官方徽标，URL 看起来也是真实的。Malwarebytes 研究人员发现，该广告引导用户进行了一连串复杂的重定向。报告详细指出：“如果用户不是目标受害者，跟踪模板会将他们重定向到合法的 notion.so 网站，”这增加了检测难度。

恶意广告 | 图片： 恶意软件比特实验室

FakeBat 加载器会下载 LummaC2，这是一款功能强大的数据窃取恶意软件，专门用于捕获凭证、cookie 和财务信息。在通过指纹识别躲过安全沙箱后，加载器使用 PowerShell 脚本绕过微软的反恶意软件扫描接口 (AMSI)，使其在未被发现的情况下运行。Malwarebytes解释说：“加载器使用.NET Reactor进行混淆，它使用AES解密嵌入式资源，然后通过进程空洞化将其注入MSBuild.exe”，突出了FakeBat用于部署其有效载荷的复杂技术。

Malwarebytes警告说：“通过谷歌广告冒充品牌仍然是个问题，因为任何人都可以利用内置功能来显示合法并诱骗用户下载恶意软件。”