网络安全研究人员发现，恶意软件感染激增，这是由于恶意广告活动分发了名为FakeBat的加载程序。

“这些攻击本质上是机会主义的，针对的是寻求流行商业软件的用户，”Mandiant托管防御团队在一份技术报告中说。“该感染利用了特洛伊木马化的 MSIX 安装程序，该安装程序执行 PowerShell 脚本以下载辅助有效负载。”

FakeBat，也称为 EugenLoader 和 PaykLoader，与名为 Eugenfest 的威胁行为者相关联。Google 拥有的威胁情报团队正在以 NUMOZYLOD 的名义跟踪该恶意软件，并将恶意软件即服务 （MaaS） 操作归咎于 UNC4536。

传播恶意软件的攻击链利用偷渡式下载技术，将搜索流行软件的用户推向虚假的相似网站，这些网站托管着被诱杀的 MSI 安装程序。通过 FakeBat 提供的一些恶意软件家族包括 IcedID、RedLine Stealer、Lumma Stealer、SectopRAT（又名 ArechClient2）和 Carbanak，一种与 FIN7 网络犯罪组织相关的恶意软件。

Mandiant说：“UNC4536的作案手法涉及利用恶意广告来分发伪装成Brave、KeePass、Notion、Steam和Zoom等流行软件的木马化MSIX安装程序。“这些特洛伊木马化的 MSIX 安装程序托管在旨在模仿合法软件托管站点的网站上，引诱用户下载它们。”

使攻击引人注目的是使用了伪装成 Brave、KeePass、Notion、Steam 和 Zoom 的 MSIX 安装程序，它们能够通过名为 startScript 的配置在启动主应用程序之前执行脚本。

UNC4536本质上是一个恶意软件分发器，这意味着 FakeBat 充当其业务合作伙伴（包括 FIN7）下一阶段有效载荷的交付工具。

“NUMOZYLOD 收集系统信息，包括操作系统详细信息、已加入的域和已安装的防病毒产品，”Mandiant 说。“在某些变体中，它收集主机的公共 IPv4 和 IPv6 地址，并将此信息发送到其 C2，[并] 在 StartUp 文件夹中创建一个快捷方式 （.lnk） 作为其持久性。”

一个多月前，Mandiant 还详细介绍了与名为 EMPTYSPACE（又名 BrokerLoader 或 Vetta Loader）的恶意软件下载器相关的攻击生命周期，该下载器已被一个名为 UNC4990 的出于经济动机的威胁集群用于促进针对意大利实体的数据泄露和加密劫持活动。