Foram observados agentes de ameaças fazendo uso de websites falsos disfarçados de soluções antivírus legítimas da Avast, Bitdefender e Malwarebytes para propagar malware capaz de roubar informações confidenciais de dispositivos Android e Home windows.
“Hospedar software program malicioso em websites que parecem legítimos é predatório para os consumidores em geral, especialmente aqueles que procuram proteger seus dispositivos contra ataques cibernéticos”, disse o pesquisador de segurança da Trellix, Gurumoorthi Ramanathan.
A lista de websites está abaixo –
- avast-securedownload(.)com, que é usado para entregar o trojan SpyNote na forma de um arquivo de pacote Android (“Avast.apk”) que, uma vez instalado, solicita permissões intrusivas para ler mensagens SMS e registros de chamadas, instalar e exclua aplicativos, faça capturas de tela, rastreie a localização e até minere criptomoedas
- bitdefender-app(.)com, que é usado para entregar um arquivo ZIP (“setup-win-x86-x64.exe.zip”) que implanta o malware ladrão de informações Lumma
- malwarebytes(.)professional, que é usado para entregar um arquivo RAR (“MBSetup.rar”) que implanta o malware ladrão de informações StealC
A empresa de segurança cibernética disse que também descobriu um binário Trellix desonesto chamado “AMCoreDat.exe” que serve como um canal para lançar um malware ladrão capaz de coletar informações da vítima, incluindo dados do navegador, e exfiltrá-las para um servidor remoto.
Atualmente não está claro como esses websites falsos são distribuídos, mas campanhas semelhantes no passado empregaram técnicas como malvertising e envenenamento de otimização de mecanismos de pesquisa (search engine marketing).
O malware ladrão tornou-se cada vez mais uma ameaça comum, com os cibercriminosos anunciando inúmeras variantes personalizadas com vários níveis de complexidade. Isso inclui novos ladrões como Acrid, SamsStealer, ScarletStealer e Waltuhium Grabber, bem como atualizações para os existentes, como SYS01stealer (também conhecido como Album Stealer ou S1deload Stealer).
“O fato de novos ladrões aparecerem de vez em quando, combinado com o fato de que sua funcionalidade e sofisticação variam muito, indica que há uma demanda criminosa por ladrões no mercado”, disse Kaspersky em um relatório recente.
O desenvolvimento ocorre no momento em que os pesquisadores descobrem um novo trojan bancário para Android chamado Antidot, que se disfarça como uma atualização do Google Play para facilitar o roubo de informações, abusando da acessibilidade do Android e das APIs MediaProjection.
“O Antidot em termos de funcionalidade é capaz de registrar teclas, ataques de sobreposição, exfiltração de SMS, capturas de tela, roubo de credenciais, controle de dispositivos e execução de comandos recebidos dos invasores”, disse a Symantec, de propriedade da Broadcom, em um boletim.
