O carregador como serviço (LaaS), conhecido como FakeBat, se tornou uma das famílias de malware carregador mais difundidas, distribuídas usando a técnica de obtain drive-by neste ano, revelam descobertas da Sekoia.
“O FakeBat tem como objetivo principal baixar e executar a carga útil do próximo estágio, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT e Ursnif”, disse a empresa em uma análise na terça-feira.
Ataques drive-by envolvem o uso de métodos como envenenamento de otimização de mecanismos de busca (website positioning), malvertising e injeções de código nefasto em websites comprometidos para induzir os usuários a baixar instaladores de software program falsos ou atualizações de navegador.
O uso de carregadores de malware nos últimos anos se encaixa com o uso crescente de touchdown pages que se passam por websites de software program legítimos, passando-os como instaladores legítimos. Isso se vincula ao aspecto maior de que phishing e engenharia social continuam sendo uma das principais maneiras dos agentes de ameaças adquirirem acesso inicial.
O FakeBat, também conhecido como EugenLoader e PaykLoader, tem sido oferecido a outros cibercriminosos sob um modelo de assinatura LaaS em fóruns clandestinos por um agente de ameaças de língua russa chamado Eugenfest (também conhecido como Payk_34) desde pelo menos dezembro de 2022.
O carregador foi projetado para ignorar mecanismos de segurança e fornece aos clientes opções para gerar compilações usando modelos para infectar softwares legítimos com trojans, bem como monitorar instalações ao longo do tempo por meio de um painel de administração.
Embora as versões anteriores usassem um formato MSI para as compilações de malware, as iterações recentes observadas desde setembro de 2023 mudaram para um formato MSIX e adicionaram uma assinatura digital ao instalador com um certificado válido para contornar as proteções do Microsoft SmartScreen.
O malware está disponível por US$ 1.000 por semana e US$ 2.500 por mês para o formato MSI, US$ 1.500 por semana e US$ 4.000 por mês para o formato MSIX e US$ 1.800 por semana e US$ 5.000 por mês para o pacote combinado MSI e assinatura.
Sekoia disse que detectou diferentes grupos de atividades disseminando o FakeBat por três abordagens principais: personificação de software program fashionable por meio de anúncios maliciosos do Google, atualizações falsas de navegador da net por meio de websites comprometidos e esquemas de engenharia social em redes sociais. Isso abrange campanhas provavelmente relacionadas ao grupo FIN7, Nitrogen e BATLOADER.
“Além de hospedar payloads, os servidores FakeBat (comando e controle) muito provavelmente filtram o tráfego com base em características como o valor do Consumer-Agent, o endereço IP e a localização”, disse Sekoia. “Isso permite a distribuição do malware para alvos específicos.”
A divulgação ocorre no momento em que o AhnLab Safety Intelligence Heart (ASEC) detalhou uma campanha de malware distribuindo outro carregador chamado DBatLoader (também conhecido como ModiLoader e NatsoLoader) por meio de e-mails de phishing com tema de fatura.
Também ocorre a descoberta de cadeias de infecção propagando o Hijack Loader (também conhecido como DOILoader e IDAT Loader) por meio de websites de obtain de filmes piratas para, finalmente, entregar o ladrão de informações Lumma.
“Esta campanha IDATLOADER está usando uma cadeia de infecção complexa contendo múltiplas camadas de ofuscação direta baseada em código, juntamente com truques inovadores para esconder ainda mais a maldade do código”, disse o pesquisador da Kroll, Dave Truman.
“A infecção girou em torno da utilização do mshta.exe da Microsoft para executar código enterrado profundamente dentro de um arquivo especialmente criado, disfarçado como uma Chave Secreta PGP. A campanha fez uso de novas adaptações de técnicas comuns e ofuscação pesada para esconder o código malicioso da detecção.”
Campanhas de phishing também foram observadas entregando Remcos RAT, com um novo agente de ameaça do Leste Europeu chamado Unfurling Hemlock, aproveitando carregadores e e-mails para lançar arquivos binários que agem como uma “bomba de cluster” para espalhar diferentes cepas de malware de uma só vez.
“O malware distribuído usando essa técnica é composto principalmente por ladrões, como RedLine, RisePro e Mystic Stealer, e carregadores, como Amadey e SmokeLoader”, disse o pesquisador do Outpost24, Hector Garcia.
“A maioria dos primeiros estágios foi detectada sendo enviada por e-mail para diferentes empresas ou sendo descartada de websites externos que foram contatados por carregadores externos.”
