Výskumníci spoločnosti Eset odhalili pomerne originálne vymyslenú škodlivú kampaň. Pre šírenie škodlivého kódu totiž hekeri použili zaujímavý postup: najprv nakúpili reklamný priestor vo vyhľadávači Google a následne do vyhľadávači umiestnili reklamy odkazujúce na weby so škodlivým kódom. Takto totiž vyzerali dôveryhodnejšie a ľudia boli viac ochotní sťahovať si infikované aplikácie.
Obete zmiatlo aj to, že hekeri vytvorili falošné stránky, ktoré vyzerali identicky s oficiálnymi webmi populárnych aplikácií ako Firefox, WhatsApp, Signal, Skype a Telegram. V inštalačných súboroch falošných aplikácií sa však skrýval malvér FatalRAT. Čínsky spravodajský portál napríklad nahlásil, že sa mu po vyhľadávaní v Googli zobrazila reklama na falošný prehliadač Firefox, ktorý taktiež obsahoval FatalRAT.
Ide o trojan pre vzdialený prístup, ktorý dokáže útočníkom poskytnúť plnú kontrolu nad infikovaným zariadením. FatalRAT dokáže napríklad zaznamenávať stlačenia klávesnice, kradnúť alebo mazať dáta ukladané niektorými prehliadačmi či sťahovať a spúšťať súbory. Eset zaznamenal tieto útoky medzi augustom 2022 a januárom 2023, no podľa jeho telemetrie používali útočníci staršie verzie inštalačných súborov najmenej od mája 2022.
Eset falošné reklamy nahlásil spoločnosti Google, ktorá ich následne z vyhľadávania vymazala. „Aj keď sme nedokázali zreplikovať takéto výsledky vyhľadávania, nazdávame sa, že tieto reklamy boli zobrazené iba používateľom v regióne juhovýchodnej a východnej Ázie,“ povedal Matías Porolli, výskumník spoločnosti Eset, ktorý kampaň odhalil. To znamená, že Európu tento útok nezasiahol, no nie je vylúčené, že hekeri túto formu využijú aj v budúcnosti a v rôznych regiónoch.
