El cargador como servicio (LaaS) conocido como FakeBat se ha convertido en una de las familias de malware de carga más extendidas distribuidas mediante la técnica de descarga automática este año, según revelan los hallazgos de Sekoia.
“FakeBat tiene como objetivo principal descargar y ejecutar la carga útil de la siguiente etapa, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif”, dijo la empresa. dicho en un análisis del martes.
Los ataques drive-by implican el uso de métodos como envenenamiento de optimización de motores de búsqueda (SEO), publicidad maliciosa e inyecciones de código nefasto en sitios comprometidos para incitar a los usuarios a descargar instaladores de software falsos o actualizaciones del navegador.
El uso de cargadores de malware en los últimos años coincide con el uso creciente de páginas de destino que se hacen pasar por sitios web de software legítimos y las hacen pasar por instaladores legítimos. Esto se relaciona con el aspecto más amplio de que el phishing y la ingeniería social siguen siendo una de las principales formas que tienen los actores de amenazas para obtener acceso inicial.
FakeBat, también conocido como EugenLoader y PaykLoader, ha sido ofrecido a otros ciberdelincuentes bajo un modelo de suscripción LaaS en foros clandestinos por un actor de amenazas de habla rusa llamado Eugenfest (también conocido como Payk_34) desde al menos diciembre de 2022.
El cargador está diseñado para eludir los mecanismos de seguridad y ofrece a los clientes opciones para generar compilaciones utilizando plantillas para troyanizar software legítimo, así como monitorear las instalaciones a lo largo del tiempo a través de un panel de administración.
Si bien las versiones anteriores utilizaban un formato MSI para las compilaciones de malware, las iteraciones recientes observadas desde septiembre de 2023 cambiaron a un formato MSIX y agregaron una firma digital al instalador con un certificado válido para eludir las protecciones SmartScreen de Microsoft.
El malware está disponible por $1,000 por semana y $2,500 por mes para el formato MSI, $1,500 por semana y $4,000 por mes para el formato MSIX, y $1,800 por semana y $5,000 por mes para el paquete combinado MSI y firma.
Sekoia afirmó que detectó diferentes grupos de actividades que difundían FakeBat mediante tres métodos principales: suplantación de software popular a través de anuncios maliciosos de Google, actualizaciones falsas de navegadores web a través de sitios comprometidos y esquemas de ingeniería social en redes sociales. Esto incluye campañas probablemente relacionadas con el grupo FIN7, Nitrogen y BATLOADER.
“Además de alojar cargas útiles, FakeBat [command-and-control] “Es muy probable que los servidores filtren el tráfico en función de características como el valor del agente de usuario, la dirección IP y la ubicación”, dijo Sekoia. “Esto permite la distribución del malware a objetivos específicos”.
La revelación se produce cuando el Centro de Inteligencia de Seguridad de AhnLab (ASEC) detalló una campaña de malware que distribuía otro cargador llamado DBatLoader (también conocido como ModiLoader y NatsoLoader) a través de correos electrónicos de phishing con temas de facturas.
También sigue el descubrimiento de cadenas de infección que propagan Hijack Loader (también conocido como DOILoader e IDAT Loader) a través de sitios de descarga de películas pirateadas para finalmente entregar el ladrón de información Lumma.
“Esta campaña IDATLOADER utiliza una cadena de infección compleja que contiene múltiples capas de ofuscación directa basada en código junto con trucos innovadores para ocultar aún más la malicia del código”, dijo el investigador de Kroll, Dave Truman.
“La infección se basó en el uso del programa mshta.exe de Microsoft para ejecutar un código oculto en un archivo especialmente diseñado que se hacía pasar por una clave secreta PGP. La campaña utilizó adaptaciones novedosas de técnicas comunes y una ofuscación intensa para ocultar el código malicioso y evitar su detección”.
También se han observado campañas de phishing que distribuyen Remcos RAT, con un nuevo actor de amenazas de Europa del Este denominado Unfurling Hemlock que aprovecha cargadores y correos electrónicos para colocar archivos binarios que actúan como una “bomba de racimo” para propagar diferentes cepas de malware a la vez.
“El malware que se distribuye utilizando esta técnica se compone principalmente de ladrones, como RedLine, RisePro y Mystic Stealer, y cargadores como Amadey y Cargador de humo“, dijo el investigador de Outpost24, Héctor García.
“La mayoría de las primeras etapas fueron detectadas siendo enviadas por correo electrónico a diferentes empresas o siendo descargadas desde sitios externos que fueron contactados por cargadores externos”.