Atualizações falsas de navegadores estão sendo usadas para distribuir trojans de acesso remoto (RATs) e malwares ladrões de informações, como BitRAT e Lumma Stealer (também conhecido como LummaC2).
“Atualizações falsas de navegadores têm sido responsáveis por inúmeras infecções por malware, incluindo o conhecido SocGholish,” afirmou a empresa de segurança cibernética eSentire em um novo relatório. “Em abril de 2024, observamos o FakeBat sendo disseminado por meio de mecanismos de atualização falsos semelhantes.”
A cadeia de ataque começa quando os alvos visitam um site armadilhado contendo código JavaScript projetado para redirecionar os usuários para uma página falsa de atualização do navegador (“chatgpt-app[.]cloud”).
A página redirecionada contém um link de download para um arquivo ZIP (“Update.zip”) hospedado no Discord, que é baixado automaticamente para o dispositivo da vítima.
É importante destacar que agentes de ameaças frequentemente usam o Discord como vetor de ataque. Uma análise recente da Bitdefender identificou mais de 50.000 links perigosos distribuindo malware, campanhas de phishing e spam nos últimos seis meses.
Dentro do arquivo ZIP há um arquivo JavaScript (“Update.js”), que aciona a execução de scripts do PowerShell responsáveis por recuperar cargas adicionais, como BitRAT e Lumma Stealer, de um servidor remoto na forma de arquivos de imagem PNG.
Esses scripts do PowerShell também são usados para estabelecer persistência e um carregador baseado em .NET, principalmente utilizado para iniciar o malware em estágio final. A eSentire sugeriu que o carregador provavelmente é comercializado como um “serviço de entrega de malware”, pois é utilizado para implantar tanto o BitRAT quanto o Lumma Stealer.
BitRAT
BitRAT é um RAT repleto de recursos que permite aos invasores coletar dados, minerar criptomoedas, baixar mais binários e comandar remotamente os hosts infectados. Lumma Stealer, um malware ladrão disponível por US$ 250 a US$ 1.000 por mês desde agosto de 2022, oferece a capacidade de capturar informações de navegadores web, carteiras criptografadas e outros detalhes confidenciais.
“A falsa isca de atualização do navegador tornou-se comum entre os invasores como meio de entrada em um dispositivo ou rede”, afirmou a empresa, acrescentando que “isso demonstra a capacidade dos operadores de explorar nomes confiáveis para maximizar o alcance e o impacto”.
Embora esses ataques geralmente utilizem downloads drive-by e técnicas de malvertising, a ReliaQuest, em um relatório publicado na semana passada, revelou uma nova variante da campanha ClearFake que engana os usuários para copiar, colar e executar manualmente código malicioso do PowerShell sob o pretexto de uma atualização do navegador.
Especificamente, o site malicioso alega que “algo deu errado ao exibir esta página da web” e instrui o visitante a instalar um certificado raiz para resolver o problema, seguindo uma série de etapas que envolvem copiar o código ofuscado do PowerShell e executá-lo em um terminal do PowerShell.
“Após a execução, o código do PowerShell realiza várias funções, incluindo limpar o cache DNS, exibir uma caixa de mensagem, baixar mais código do PowerShell e instalar o malware ‘LummaC2’”, informou a empresa.
Lumma Stealer
Segundo a empresa de segurança cibernética, Lumma Stealer se destacou como um dos ladrões de informações mais prevalentes em 2023, ao lado de RedLine e Raccoon.
“O número de registros obtidos pelo LummaC2 listados para venda aumentou 110% do terceiro para o quarto trimestre de 2023”, observou a empresa. “A crescente popularidade do LummaC2 entre os adversários provavelmente se deve à sua alta taxa de sucesso, referindo-se à sua eficácia na infiltração bem-sucedida de sistemas e na exfiltração de dados confidenciais sem detecção.”
Esse desenvolvimento ocorre enquanto o AhnLab Security Intelligence Center (ASEC) divulga detalhes de uma nova campanha que utiliza webhards (abreviação de disco rígido da web) como canal para distribuir instaladores maliciosos para jogos adultos e versões crackeadas do Microsoft Office, resultando na implantação de uma variedade de malware como Orcus RAT, minerador XMRig, 3proxy e XWorm.
Cadeias de ataques semelhantes envolvendo sites que oferecem software pirata têm levado à implantação de carregadores de malware como PrivateLoader e TaskLoader, ambos oferecidos como um serviço de pagamento por instalação (PPI) para que outros cibercriminosos entreguem suas próprias cargas maliciosas.
Isso segue novas descobertas da Silent Push sobre o “uso quase exclusivo” dos servidores de nomes DNSPod[.]com pelo CryptoChameleon para suportar sua arquitetura de kit de phishing. DNSPod, parte da empresa chinesa Tencent, tem um histórico de fornecer serviços para operadores de hospedagem mal-intencionados à prova de balas.
“O CryptoChameleon utiliza servidores de nomes DNSPod para se envolver em técnicas de evasão de fluxo rápido, permitindo que os agentes de ameaças mudem rapidamente grandes quantidades de IPs vinculados a um único nome de domínio”, afirmou a empresa.
“O fluxo rápido permite que a infraestrutura do CryptoChameleon evite contramedidas tradicionais e reduz significativamente o valor operacional dos IOCs legados de determinado momento”, utilizando pelo menos sete contas principais de mídia social e uma rede CIB de mais de 250 contas.
Fonte: The Hacker News
3 thoughts on “Cuidado: atualizações falsas do navegador fornecem malware BitRAT e Lumma Stealer”
Comments are closed.