ក្រុមហេគឃ័របានប្រើប្រាស់នូវការផ្សព្វផ្សាយពាណិជ្ជកម្ម Ads នៅលើ Google ក្នុងការក្លែងបន្លំជាកម្មវិធី Webex software search ads ដែលបាននាំអ្នកប្រើប្រាស់ជាច្រើនទៅកាន់វេបសាយដែលចែកចាយមេរោគ BatLoader malware ។ Webex គឺជាកម្មវិធី video conferencing និង contact center suite ដែលជាផ្នែកមួយនៃកម្មវិធី collaboration របស់ក្រុមហ៊ុន Cisco ដែលបានប្រើប្រាស់ដោយក្រុមហ៊ុនសហគ្រាស និងអាជីវកម្មជាច្រើននៅជុំវិញពិភពលោក។

Malwarebytes បានរាយការណ៍អំពីយុទ្ធនាការនៃការចែកចាយមេរោគ malware នេះដែលមានយ៉ាងសកម្មនៅលើ Google Search ហើយក្រុមហេគឃ័រនេះគឺចេញមកពីប្រទេសម៉ិកស៊ីកូ។ Malwarebytes បញ្ជាក់ថា malicious Google ad នេះបានបន្លំខ្លួនធ្វើជា Webex download portal ផ្លូវការហើយស្ថិតនៅផ្នែកខាងលើបំផុតនៃលទ្ធផលនៅលើ Google Search នៅពេលដែលយើងវាយពាក្យថា “webex” ។

អ្វីដែលធ្វើអោយការផ្សព្វផ្សាយពាណិជ្ជកម្មនេះមើលទៅមានលក្ខណៈស្របច្បាប់នោះគឺដោយសារតែវាប្រើប្រាស់នូវឡូហ្គោ Webex logo និងបង្ហាញនូវ URL ផ្លូវការ “webex.com” នោះ។ នៅក្នុង ad នេះគឺហាក់ដូចជាការផ្សព្វផ្សាយពាណិជ្ជកម្មចេញពីក្រុមហ៊ុន Cisco ។ ក្រុមហេគឃ័រអាចប្រើប្រាស់នូវ tracking template នៅក្នុង Google Ad platform ហើយក្រុមហេគឃ័រនេះប្រើប្រាស់នូវ Firebase URL (“trixwe.page.link”) នៅពេលដែលអ្នកប្រើប្រាស់ចុចនៅលើ Link នោះ។

នៅពេលដែលអ្នកប្រើប្រាស់ចូលទៅក្នុងវេបសាយនេះវាក៏ទាញអ្នកប្រើប្រាស់ចូលទៅកាន់វេបសាយចែកចាយមេរោគ “webexadvertisingoffer[.]com” ខណៈពេលដែលវេបសាយពិតប្រាកដជា “webex.com” ។ គួរបញ្ជាក់ផងដែរថា នៅលើទំព័រ Webex ក្លែងក្លាយនេះ ពួកគេនឹងទទួលបាននូវ MSI installer ដែលដំណើរការនូវ PowerShell commands ហើយវាតម្លើងនូវមេរោគ BatLoader malware ។ មេរោគនេះអាចធ្វើការឌីក្រីប និងប្រតិបត្តិកូដនៃមេរោគ DanaBot malware payload បានថែមទៀត៕