Atualizações falsas de navegadores da net estão sendo usadas para fornecer trojans de acesso remoto (RATs) e malwares ladrões de informações, como BitRAT e Lumma Stealer (também conhecido como LummaC2).
“Atualizações falsas de navegadores têm sido responsáveis por inúmeras infecções por malware, incluindo aquelas do conhecido malware SocGholish”, disse a empresa de segurança cibernética eSentire em um novo relatório. “Em abril de 2024, observamos o FakeBat sendo distribuído por meio de mecanismos de atualização falsos semelhantes.”
A cadeia de ataque começa quando possíveis alvos visitam um web site armadilhado que contém código JavaScript projetado para redirecionar os usuários para uma página falsa de atualização do navegador (“chatgpt-app(.)nuvem”).
A página da net redirecionada vem incorporada com um hyperlink de obtain para um arquivo ZIP (“Replace.zip”) que está hospedado no Discord e baixado automaticamente para o dispositivo da vítima.
Vale ressaltar que os agentes de ameaças costumam usar o Discord como vetor de ataque, com uma análise recente da Bitdefender descobrindo mais de 50.000 hyperlinks perigosos que distribuem malware, campanhas de phishing e spam nos últimos seis meses.
Presente no arquivo ZIP está outro arquivo JavaScript (“Replace.js”), que aciona a execução de scripts do PowerShell responsáveis por recuperar cargas adicionais, incluindo BitRAT e Lumma Stealer, de um servidor remoto na forma de arquivos de imagem PNG.
Também são recuperados dessa maneira os scripts do PowerShell para estabelecer persistência e um carregador baseado em .NET que é usado principalmente para iniciar o malware em estágio last. eSentire postulou que o carregador provavelmente é anunciado como um “serviço de entrega de malware” devido ao fato de que o mesmo carregador é usado para implantar o BitRAT e o Lumma Stealer.
BitRAT é um RAT rico em recursos que permite aos invasores coletar dados, minerar criptomoedas, baixar mais binários e comandar remotamente os hosts infectados. Lumma Stealer, um malware ladrão de commodities disponível por US$ 250 a US$ 1.000 por mês desde agosto de 2022, oferece a capacidade de capturar informações de navegadores da net, carteiras criptografadas e outros detalhes confidenciais.
“A falsa isca de atualização do navegador tornou-se comum entre os invasores como meio de entrada em um dispositivo ou rede”, disse a empresa, acrescentando que “mostra a capacidade da operadora de aproveitar nomes confiáveis para maximizar o alcance e o impacto”.
Embora esses ataques normalmente aproveitem downloads drive-by e técnicas de malvertising, a ReliaQuest, em um relatório publicado na semana passada, disse que descobriu uma nova variante da campanha ClearFake que engana os usuários para que copiem, colem e executem manualmente código malicioso do PowerShell sob o pretexto de uma atualização do navegador.
Especificamente, o web site malicioso afirma que “algo deu errado ao exibir esta página da net” e instrui o visitante do web site a instalar um certificado raiz para resolver o problema, seguindo uma série de etapas, que envolve copiar o código ofuscado do PowerShell e executá-lo em um terminal do PowerShell. .
“Após a execução, o código do PowerShell executa múltiplas funções, incluindo limpar o cache DNS, exibir uma caixa de mensagem, baixar mais código do PowerShell e instalar malware ‘LummaC2’”, disse a empresa.
De acordo com informações compartilhadas pela empresa de segurança cibernética, Lumma Stealer emergiu como um dos ladrões de informações mais prevalentes em 2023, ao lado de RedLine e Raccoon.
“O número de toras obtidas por LummaC2 listadas para venda aumentou 110% do terceiro ao quarto trimestre de 2023”, observou. “A crescente popularidade do LummaC2 entre os adversários provavelmente se deve à sua alta taxa de sucesso, que se refere à sua eficácia na infiltração bem-sucedida de sistemas e na exfiltração de dados confidenciais sem detecção.”
O desenvolvimento ocorre no momento em que o AhnLab Safety Intelligence Middle (ASEC) divulga detalhes de uma nova campanha que emprega webhards (abreviação de disco rígido da net) como um canal para distribuir instaladores maliciosos para jogos adultos e versões crackeadas do Microsoft Workplace e, em última análise, implantar uma variedade de malware como Orcus RAT, minerador XMRig, 3proxy e XWorm.
Cadeias de ataques semelhantes envolvendo websites que oferecem software program pirata levaram à implantação de carregadores de malware como PrivateLoader e TaskLoader, que são oferecidos como um serviço de pagamento por instalação (PPI) para outros cibercriminosos entregarem suas próprias cargas.
Ele também segue novas descobertas do Silent Push sobre o “uso quase exclusivo” de servidores de nomes DNSPod(.)com do CryptoChameleon para suportar sua arquitetura de equipment de phishing. DNSPod, parte da empresa chinesa Tencent, tem um histórico de fornecimento de serviços para operadores de hospedagem mal-intencionados à prova de balas.
“O CryptoChameleon usa servidores de nomes DNSPod para se envolver em técnicas de evasão de fluxo rápido que permitem que os agentes de ameaças percorram rapidamente grandes quantidades de IPs vinculados a um único nome de domínio”, disse a empresa.
“O fluxo rápido permite que a infraestrutura do CryptoChameleon evite as contramedidas tradicionais e reduz significativamente o valor operacional dos IOCs legados de determinado momento.” usando pelo menos sete contas principais de mídia social e uma rede CIB de mais de 250 contas.
