03 de julio de 2024Sala de prensaMalware / Envenenamiento SEO El cargador como servicio (LaaS) conocido como FakeBat se ha convertido en una de las familias de malware de carga más extendidas distribuidas mediante la técnica de descarga automática este año, según revelan los hallazgos de Sekoia. «FakeBat tiene como objetivo principal descargar y ejecutar la carga útil de la siguiente etapa, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif», dijo la compañía en un análisis del martes. Los ataques drive-by implican el uso de métodos como envenenamiento de optimización de motores de búsqueda (SEO), publicidad maliciosa e inyecciones de código nefasto en sitios comprometidos para incitar a los usuarios a descargar instaladores de software falsos o actualizaciones del navegador. El uso de cargadores de malware en los últimos años encaja con el creciente uso de páginas de destino que se hacen pasar por sitios web de software legítimos haciéndolas pasar por instaladores legítimos. Esto se relaciona con el aspecto más amplio de que el phishing y la ingeniería social siguen siendo una de las principales formas de los actores de amenazas para obtener acceso inicial. FakeBat, también conocido como EugenLoader y PaykLoader, ha sido ofrecido a otros ciberdelincuentes bajo un modelo de suscripción LaaS en foros clandestinos por un actor de amenazas de habla rusa llamado Eugenfest (también conocido como Payk_34) desde al menos diciembre de 2022. El cargador está diseñado para eludir los mecanismos de seguridad y brinda a los clientes opciones para generar compilaciones utilizando plantillas para troyanizar software legítimo, así como monitorear las instalaciones a lo largo del tiempo a través de un panel de administración. Si bien las versiones anteriores utilizaban un formato MSI para las compilaciones de malware, las iteraciones recientes observadas desde septiembre de 2023 han cambiado a un formato MSIX y han agregado una firma digital al instalador con un certificado válido para eludir las protecciones SmartScreen de Microsoft. El malware está disponible por 1.000 dólares semanales y 2.500 dólares mensuales para el formato MSI, 1.500 dólares semanales y 4.000 dólares mensuales para el formato MSIX, y 1.800 dólares semanales y 5.000 dólares mensuales para el paquete combinado MSI y firma. Sekoia dijo que detectó diferentes grupos de actividad que difundían FakeBat mediante tres enfoques principales: suplantación de software popular a través de anuncios maliciosos de Google, actualizaciones falsas del navegador web a través de sitios comprometidos y esquemas de ingeniería social en redes sociales. Esto abarca campañas probablemente relacionadas con el grupo FIN7, Nitrogen y BATLOADER. «Además de alojar cargas útiles, FakeBat [command-and-control] «Es muy probable que los servidores filtren el tráfico en función de características como el valor User-Agent, la dirección IP y la ubicación», dijo Sekoia. «Esto permite la distribución del malware a objetivos específicos». La revelación se produce cuando el Centro de Inteligencia de Seguridad AhnLab (ASEC) detalló una campaña de malware que distribuyó otro cargador llamado DBatLoader (también conocido como ModiLoader y NatsoLoader) a través de correos electrónicos de phishing con temática de facturas. También sigue al descubrimiento de cadenas de infección que propagan Hijack Loader (también conocido como DOILoader e IDAT Loader) a través de sitios de descarga de películas pirateadas para finalmente entregar el ladrón de información Lumma. «Esta campaña IDATLOADER está utilizando una cadena de infección compleja que contiene múltiples capas de ofuscación directa basada en código junto con trucos innovadores para ocultar aún más la malicia del código», dijo el investigador de Kroll Dave Truman. «La infección giraba en torno a la utilización de mshta.exe de Microsoft para ejecutar código enterrado en lo profundo de un archivo especialmente diseñado que se hacía pasar por una clave secreta PGP. La campaña utilizó nuevas adaptaciones de técnicas comunes y una fuerte ofuscación para ocultar el código malicioso de la detección». También se han observado campañas de phishing que distribuyen Remcos RAT, con un nuevo actor de amenazas de Europa del Este llamado Unfurling Hemlock que aprovecha los cargadores y los correos electrónicos para dejar caer archivos binarios que actúan como una «bomba de racimo» para propagar diferentes cepas de malware a la vez. «El malware que se distribuye utilizando esta técnica se compone principalmente de ladrones, como RedLine, RisePro y Mystic Stealer, y cargadores como Amadey y SmokeLoader», dijo el investigador de Outpost24, Héctor García. «Se detectó que la mayoría de las primeras etapas se enviaban por correo electrónico a diferentes empresas o se descargaban desde sitios externos que fueron contactados por cargadores externos». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.