FakeBat se ha convertido en una de las familias de malware más extensamente distribuidas mediante la técnica de descarga drive-by este año, según Sekoia.
«FakeBat tiene como principal objetivo descargar y ejecutar cargas maliciosas como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif«, mencionó la empresa en un análisis publicado el martes.
Los ataques drive-by utilizan métodos como envenenamiento de SEO, publicidad maliciosa e inyecciones de código malicioso en sitios comprometidos para inducir a los usuarios a descargar software falso o actualizaciones de navegador.
El uso de cargadores de malware coincide con el aumento del uso de páginas de inicio que suplantan sitios legítimos al hacerse pasar por instaladores verídicos. Esto está relacionado con el hecho de que el phishing y la ingeniería social siguen siendo principales medios de acceso inicial para los actores de amenazas.
FakeBat, también conocido como EugenLoader y PaykLoader, es ofrecido como servicio de suscripción LaaS por el ciberdelincuente ruso Eugenfest. Se ha detectado desde al menos diciembre de 2022.
El cargador está diseñado para evitar medidas de seguridad y ofrece a los clientes opciones para generar construcciones utilizando plantillas para trojanizar software legítimo, así como monitorear las instalaciones a través de un panel de administración.
Las versiones recientes han cambiado a un formato MSIX y han añadido una firma digital al instalador con un certificado válido para evitar protecciones de Microsoft SmartScreen.
El malware está disponible a precios que oscilan entre $1,000 y $5,000 según el formato y la duración del servicio.
Sekoia detectó grupos de actividad que distribuyen FakeBat a través de suplantación de software popular mediante anuncios de Google, actualizaciones de navegador falsas en sitios comprometidos y esquemas de ingeniería social en redes sociales. Estas campañas están posiblemente vinculadas con el grupo FIN7, Nitrogen y BATLOADER.
Además de alojar cargas maliciosas, los servidores de control de FakeBat pueden filtrar el tráfico en función de características como el agente de usuario, la dirección IP y la ubicación, lo que permite la distribución del malware a objetivos específicos.
Esta revelación se da mientras el AhnLab Security Intelligence Center (ASEC) detalla una campaña de malware que distribuye otro cargador llamado DBatLoader a través de correos electrónicos de phishing.
Asimismo, se han observado campañas de phishing que distribuyen el troyano Remcos, con un nuevo actor de amenazas llamado Hemlock desplegando cargadores y correos electrónicos para propagar diferentes cepas de malware simultáneamente.
Vía The Hacker News
