O serviço de carregamento de malware, conhecido como FakeBat, se tornou uma das famílias de malware carregador mais disseminadas, sendo distribuído através da técnica de download drive-by neste ano, de acordo com descobertas da Sekoia.
“O objetivo principal do FakeBat é baixar e executar a carga útil do próximo estágio, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT e Ursnif”, informou a empresa em uma análise na terça-feira.
Os ataques drive-by utilizam métodos como envenenamento de otimização de mecanismos de busca (SEO), malvertising e injeções de código malicioso em sites comprometidos para induzir os usuários a baixar instaladores de software falsos ou atualizações de navegador.
O aumento no uso de carregadores de malware nos últimos anos está alinhado com a crescente utilização de páginas de destino que imitam sites de software legítimos, apresentando-se como instaladores autênticos. Isso reflete a tendência maior de que phishing e engenharia social continuam sendo os principais métodos pelos quais agentes de ameaça obtêm acesso inicial.
FakeBat
O FakeBat, também conhecido como EugenLoader e PaykLoader, tem sido oferecido a outros cibercriminosos sob um modelo de assinatura LaaS em fóruns clandestinos por um agente de ameaças de língua russa chamado Eugenfest (também conhecido como Payk_34) desde pelo menos dezembro de 2022.
Esse carregador foi projetado para contornar mecanismos de segurança e oferece aos clientes opções para gerar compilações usando modelos que infectam softwares legítimos com trojans, além de monitorar as instalações ao longo do tempo através de um painel de administração.
Enquanto as versões anteriores utilizavam um formato MSI para as compilações de malware, as iterações mais recentes, observadas desde setembro de 2023, mudaram para um formato MSIX e adicionaram uma assinatura digital ao instalador com um certificado válido para driblar as proteções do Microsoft SmartScreen.
O malware está disponível por US$ 1.000 por semana e US$ 2.500 por mês para o formato MSI, US$ 1.500 por semana e US$ 4.000 por mês para o formato MSIX, e US$ 1.800 por semana e US$ 5.000 por mês para o pacote combinado MSI e assinatura.
A Sekoia informou que detectou diferentes grupos de atividades espalhando o FakeBat através de três abordagens principais: personificação de software popular por meio de anúncios maliciosos do Google, atualizações falsas de navegadores da web em sites comprometidos, e esquemas de engenharia social em redes sociais. Essas campanhas estão provavelmente ligadas aos grupos FIN7, Nitrogen e BATLOADER.
“Além de hospedar payloads, os servidores de comando e controle do FakeBat provavelmente filtram o tráfego com base em características como o valor do User-Agent, endereço IP e localização”, afirmou a Sekoia. “Isso permite a distribuição do malware para alvos específicos.”
A divulgação coincide com o detalhamento pelo AhnLab Security Intelligence Center (ASEC) de uma campanha de malware que distribui outro carregador chamado DBatLoader (também conhecido como ModiLoader e NatsoLoader) por meio de e-mails de phishing com tema de fatura.
Também foram descobertas cadeias de infecção propagando o Hijack Loader (também conhecido como DOILoader e IDAT Loader) através de sites de download de filmes piratas, que acabam entregando o ladrão de informações Lumma.
“Esta campanha IDATLOADER está utilizando uma cadeia de infecção complexa com múltiplas camadas de ofuscação de código, juntamente com truques inovadores para esconder ainda mais a maldade do código”, disse Dave Truman, pesquisador da Kroll.
“A infecção foi baseada na utilização do mshta.exe da Microsoft para executar código oculto dentro de um arquivo especialmente criado, disfarçado como uma Chave Secreta PGP. A campanha utilizou novas adaptações de técnicas comuns e uma forte ofuscação para esconder o código malicioso da detecção.”
Campanhas de phishing também foram observadas entregando Remcos RAT, com um novo agente de ameaça do Leste Europeu, chamado Unfurling Hemlock, utilizando carregadores e e-mails para lançar arquivos binários que agem como uma “bomba de fragmentação” para disseminar diferentes cepas de malware simultaneamente.
“O malware distribuído por essa técnica é composto principalmente por ladrões de informações, como RedLine, RisePro e Mystic Stealer, e carregadores, como Amadey e SmokeLoader,” disse Hector Garcia, pesquisador do Outpost24.
“A maioria dos primeiros estágios foi detectada sendo enviada por e-mail para diferentes empresas ou descarregada de sites externos que foram contatados por carregadores.”
Fontes: The Hacker News
+Mais
Golpes virtuais atingem 1,8 milhão de vítimas no Brasil
Brasil avança na cibersegurança e sobe para 6ª posição no ranking mundial
Novo malware Emansrepo transforma arquivos HTML em armas para atacar usuários do Windows