资安研究人员近期发现，通过恶意广告传播的恶意软件FakeBat（NUMOZYLOD），在全球活跃度不断上升，导致感染案例增加，提醒企业资安人员应该提高警觉。FakeBat在2023年被Mandiant发现，是一种具威胁性的新兴恶意软件。

随着网络攻击手法不断演进，FakeBat已成为目前值得关注的恶意软件之一。FakeBat具有多样化攻击方式和高隐蔽性的特性，使其能绕过传统的安全防护措施，对企业数据产生安全风险。FakeBat入侵的第一步，通常是从被植入木马的MSIX安装程序开始，代号UNC4536的恶意攻击团体，会将MSIX文件伪装成受害者常用的软件，诸如Brave、KeePass、Zoom和Notion等，并将其托管于伪装合法的恶意网站上。

恶意安装程序会利用MSIX的PSF（Package Support Framework）来运行恶意脚本，这些脚本在应用程序启动前后运行，进而将FakeBat下载到被害者的电脑。这种方式让FakeBat能够隐藏在看似无害的软件安装过程，并在用户不知情的情况进行恶意活动。

资安人员发现FakeBat主要有两种变体，第一种变体是散布针对金融机构的后门程序CARBANAK。UNC4536会利用SEO投毒策略，将受害者引导至伪装成KeePass开源密码管理器的恶意网站，在受害者下载并安装被植入木马的安装程序后，FakeBat会收集主机信息并通过DLL搜索顺序挟持（DLL Search Order Hijacking）技术下载并运行CARBANAK。CARBANAK也会利用WMI收集系统上的杀毒软件信息，并将这些数据发送至C2服务器，以进一步实现攻击目标。

第二种FakeBat变体则是被用来传输LUMMASTEALER，这是一种专门窃取个人数据的恶意软件。由于第二种FakeBat变体采用了经高度混淆的PowerShell脚本，因此使分析变得更加困难。该变体会先下载停用Windows AMSI（Antimalware Scan Interface）的脚本，避免恶意行为被杀毒软件侦测，接着，恶意软件会从特定网站搜索特定.dat文件，并从下载的内容中截取有害的代码直接在内存中运行，绕过传统安全扫描机制达到感染的目的。

由于FakeBat的灵活性，能够绕过传统的安全防护措施，可对企业造成数据泄漏与财务损失，因此资安研究人员提醒企业应该强化用户教育，提高对恶意广告的警觉，企业也应该使用威胁侦测工具，监控系统中的可疑文件活动和脚本运行，以控制遭受FakeBat攻击的风险。