Pesquisadores de segurança cibernética descobriram um aumento nas infecções por malware decorrentes de campanhas de malvertising que distribuem um carregador chamado FakeBat.
“Esses ataques são oportunistas por natureza, mirando usuários que buscam softwares comerciais populares”, disse a equipe da Mandiant Managed Protection em um relatório técnico. “A infecção utiliza um instalador MSIX trojanizado, que executa um script PowerShell para baixar uma carga secundária.”
FakeBat, também chamado de EugenLoader e PaykLoader, está vinculado a um agente de ameaça chamado Eugenfest. A equipe de inteligência de ameaças de propriedade do Google está rastreando o malware sob o nome NUMOZYLOD e atribuiu a operação Malware-as-a-Service (MaaS) ao UNC4536.
As cadeias de ataque que propagam o malware fazem uso de técnicas de obtain drive-by para empurrar os usuários que buscam softwares populares para websites falsos que hospedam instaladores MSI com armadilhas. Algumas das famílias de malware entregues through FakeBat incluem IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (também conhecido como ArechClient2) e Carbanak, um malware associado ao grupo de crimes cibernéticos FIN7.
“O modus operandi do UNC4536 envolve alavancar malvertising para distribuir instaladores MSIX trojanizados disfarçados de softwares populares como Courageous, KeePass, Notion, Steam e Zoom”, disse Mandiant. “Esses instaladores MSIX trojanizados são hospedados em websites projetados para imitar websites legítimos de hospedagem de software program, atraindo usuários para baixá-los.”
O que torna o ataque notável é o uso de instaladores MSIX disfarçados de Courageous, KeePass, Notion, Steam e Zoom, que têm a capacidade de executar um script antes de iniciar o aplicativo principal por meio de uma configuração chamada startScript.
O UNC4536 é essencialmente um distribuidor de malware, o que significa que o FakeBat atua como um veículo de entrega de cargas úteis de próximo estágio para seus parceiros de negócios, incluindo o FIN7.
“O NUMOZYLOD reúne informações do sistema, incluindo detalhes do sistema operacional, domínio associado e produtos antivírus instalados”, disse a Mandiant. “Em algumas variantes, ele reúne os endereços IPv4 e IPv6 públicos do host e envia essas informações para seu C2, (e) cria um atalho (.lnk) na pasta StartUp como sua persistência.”
A divulgação ocorre pouco mais de um mês após a Mandiant também detalhar o ciclo de vida do ataque associado a outro downloader de malware chamado EMPTYSPACE (também conhecido como BrokerLoader ou Vetta Loader), que tem sido usado por um cluster de ameaças com motivação financeira denominado UNC4990 para facilitar atividades de exfiltração de dados e cryptojacking visando entidades italianas.
