Ciberseguridad 360 | Malware FakeBat Loader se propaga mediante descargas no autorizadas

El loader-as-a-service (LaaS) conocido como FakeBat se ha convertido en una de las familias de malware loader m�s distribuidas mediante la t�cnica drive-by download este a�o, seg�n revelan los hallazgos de Sekoia.

"El objetivo principal de FakeBat es descargar y ejecutar la carga �til de la siguiente fase, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif", se�al� la empresa en un an�lisis publicado el martes.

Los ataques drive-by implican el uso de m�todos como el envenenamiento por optimizaci�n de motores de b�squeda (SEO), publicidad maliciosa e inyecciones de c�digo malicioso en sitios comprometidos para inducir a los usuarios a descargar instaladores de software falsos o actualizaciones del navegador.

El uso de cargadores de malware en los �ltimos a�os encaja con el creciente uso de p�ginas de aterrizaje que suplantan a sitios web de software leg�timos haci�ndolos pasar por instaladores leg�timos. Esto enlaza con el aspecto m�s amplio de que el phishing y la ingenier�a social siguen siendo una de las principales v�as de los actores de amenazas para adquirir el acceso inicial.

FakeBat, tambi�n conocido como EugenLoader y PaykLoader, ha sido ofrecido a otros ciberdelincuentes bajo un modelo de suscripci�n LaaS en foros clandestinos por un actor de amenazas de habla rusa llamado Eugenfest (alias Payk_34) desde al menos diciembre de 2022.

El cargador est� dise�ado para eludir los mecanismos de seguridad y ofrece a los clientes opciones para generar compilaciones utilizando plantillas para troyanizar software leg�timo, as� como supervisar las instalaciones a lo largo del tiempo a trav�s de un panel de administraci�n.

Mientras que las versiones anteriores utilizaban un formato MSI para las compilaciones del malware, las �ltimas iteraciones observadas desde septiembre de 2023 han cambiado a un formato MSIX y han a�adido una firma digital al instalador con un certificado v�lido para eludir las protecciones SmartScreen de Microsoft.

El malware est� disponible por 1.000 d�lares a la semana y 2.500 d�lares al mes para el formato MSI, 1.500 d�lares a la semana y 4.000 d�lares al mes para el formato MSIX, y 1.800 d�lares a la semana y 5.000 d�lares al mes para el paquete combinado de MSI y firma.

Sekoia se�al� que hab�a detectado diferentes grupos de actividad que difund�an FakeBat mediante tres enfoques principales: Suplantaci�n de software popular a trav�s de anuncios maliciosos de Google, falsas actualizaciones de navegadores web a trav�s de sitios comprometidos y esquemas de ingenier�a social en redes sociales. Esto incluye campa�as probablemente relacionadas con el grupo FIN7, Nitrogen y BATLOADER.

"Adem�s de alojar cargas �tiles, es muy probable que los servidores de FakeBat [comando y control] filtren el tr�fico en funci�n de caracter�sticas como el valor User-Agent, la direcci�n IP y la ubicaci�n", explica Sekoia. "Esto permite la distribuci�n del malware a objetivos espec�ficos".

La revelaci�n se produce mientras el Centro de Inteligencia de Seguridad de AhnLab (ASEC) detallaba una campa�a de malware que distribu�a otro cargador llamado DBatLoader (tambi�n conocido como ModiLoader y NatsoLoader) a trav�s de correos electr�nicos de phishing con tem�tica de facturas.

Tambi�n sigue al descubrimiento de cadenas de infecci�n que propagan Hijack Loader (tambi�n conocido como DOILoader e IDAT Loader) a trav�s de sitios de descarga de pel�culas pirateadas para, en �ltima instancia, distribuir el ladr�n de informaci�n Lumma.

"Esta campa�a IDATLOADER est� utilizando una compleja cadena de infecci�n que contiene m�ltiples capas de ofuscaci�n directa basada en c�digo junto con trucos innovadores para ocultar a�n m�s la malicia del c�digo", dijo el investigador de Kroll Dave Truman.

"La infecci�n giraba en torno a la utilizaci�n de mshta.exe de Microsoft para ejecutar c�digo oculto en un archivo especialmente dise�ado que se hac�a pasar por una clave secreta PGP. La campa�a hac�a uso de adaptaciones novedosas de t�cnicas comunes y de una gran ofuscaci�n para ocultar el c�digo malicioso y evitar su detecci�n".

Tambi�n se han observado campa�as de phishing que distribuyen Remcos RAT, y un nuevo actor de amenazas de Europa del Este apodado Unfurling Hemlock aprovecha los cargadores y los correos electr�nicos para soltar archivos binarios que act�an como una "bomba de racimo" para propagar diferentes cepas de malware a la vez.

"El malware distribuido mediante esta t�cnica se compone principalmente de robos, como RedLine, RisePro y Mystic Stealer, y de cargadores, como Amadey y SmokeLoader", explica H�ctor Garc�a, investigador de Outpost24.

"La mayor�a de las primeras etapas se detectaron siendo enviadas por correo electr�nico a diferentes empresas o siendo soltadas desde sitios externos que fueron contactados por loaders externos".

Fuente: thehackernews