Criminosos cibernéticos exploram buscas por softwares populares para espalhar malware FakeBat
Nos últimos meses, pesquisadores de segurança cibernética descobriram um aumento significativo em infecções por malware, resultantes de campanhas de malvertising (publicidade maliciosa) que distribuem um carregador de malware chamado FakeBat.
Segundo um relatório técnico da equipe Mandiant Managed Defense, “esses ataques são oportunistas por natureza, visando usuários que buscam softwares empresariais populares”. O ataque ocorre por meio de um instalador MSIX trojanizado, que executa um script PowerShell para baixar uma carga maliciosa secundária.
Modo operante do malware FakeBat
FakeBat, também conhecido como EugenLoader e PaykLoader, está associado a um grupo de ameaças chamado Eugenfest. A equipe de inteligência de ameaças da Mandiant, uma subsidiária da Google, acompanha esse malware sob o nome NUMOZYLOD. Essa operação de Malware-como-Serviço (MaaS) é atribuída a um grupo denominado UNC4536.
As cadeias de ataque que propagam o FakeBat utilizam técnicas de drive-by download, direcionando usuários que buscam softwares populares para sites falsos que hospedam instaladores MSI armadilhas. Entre as famílias de malware entregues pelo FakeBat estão IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (também conhecido como ArechClient2) e Carbanak, um malware frequentemente associado ao grupo cibercriminoso FIN7.
Estratégia de distribuição do UNC4536
O grupo UNC4536 utiliza malvertising para distribuir instaladores MSIX trojanizados disfarçados como softwares populares, como Brave, KeePass, Notion, Steam e Zoom. “Esses instaladores MSIX trojanizados são hospedados em sites projetados para imitar páginas legítimas de distribuição de software, enganando os usuários a baixá-los”, explica o relatório da Mandiant.
O ataque se destaca pelo uso desses instaladores MSIX que têm a capacidade de executar scripts antes de iniciar o aplicativo principal, usando uma configuração conhecida como startScript. Essa funcionalidade permite que o malware seja carregado no sistema antes mesmo que o software original seja iniciado, garantindo uma infiltração discreta e eficaz.
FakeBat como veículo de distribuição
O UNC4536 atua como um distribuidor de malware, ou seja, o FakeBat serve como um veículo para entregar cargas maliciosas de segunda etapa aos seus parceiros de negócios, que podem incluir grupos criminosos como o FIN7.
O malware NUMOZYLOD, parte dessa operação, coleta informações do sistema, incluindo detalhes do sistema operacional, se o dispositivo está em um domínio e quais produtos de antivírus estão instalados. Em algumas variantes, o malware também coleta os endereços IP públicos (IPv4 e IPv6) do host e envia essas informações ao seu servidor de comando e controle (C2). Além disso, o FakeBat cria um atalho (.lnk) na pasta de inicialização do sistema, garantindo sua persistência.
Ameaça contínua
Essa revelação vem pouco mais de um mês após a Mandiant também ter detalhado o ciclo de ataque relacionado a outro downloader de malware chamado EMPTYSPACE (também conhecido como BrokerLoader ou Vetta Loader). Esse outro malware tem sido utilizado por um grupo de ameaças financeiras denominado UNC4990 para facilitar a exfiltração de dados e atividades de cryptojacking, especialmente visando entidades na Itália.
Conclusão
A exploração de buscas por softwares populares por meio de malvertising continua sendo uma ameaça significativa para usuários e empresas em todo o mundo. Campanhas como as que envolvem o FakeBat demonstram como criminosos cibernéticos estão constantemente inovando suas táticas, aproveitando-se de software legítimo e de técnicas cada vez mais sofisticadas para distribuir malware e obter ganhos financeiros ilícitos. Para mitigar esses riscos, é crucial que usuários e organizações adotem medidas de segurança robustas, como o uso de soluções antivírus atualizadas, verificação de fontes de download e treinamento contínuo de conscientização em segurança cibernética.
Fonte: https://thehackernews.com/2024/08/cybercriminals-exploit-popular-software.html
