Atualizações falsas distribuem malwares
3 de Junho de 2024

Atualizações falsas de navegadores web estão sendo utilizadas para distribuir trojans de acesso remoto (RATs) e malware para roubo de informações, como BitRAT e Lumma Stealer (também conhecido como LummaC2).

"Atualizações falsas de navegadores têm sido responsáveis ​​por inúmeras infecções por malware, incluindo as do bem conhecido malware SocGholish", disse a empresa de cibersegurança eSentire em um novo relatório.

Em abril de 2024, observamos a distribuição do FakeBat por meio de mecanismos de atualização falsos semelhantes. A cadeia de ataque começa quando alvos em potencial visitam um site armadilhado que contém código JavaScript projetado para redirecionar os usuários para uma página falsa de atualização do navegador ("chatgpt-app[.]cloud").

A página da web redirecionada vem embutida com um link para download de um arquivo ZIP ("Update.zip"), hospedado no Discord e baixado automaticamente para o dispositivo da vítima.

Vale ressaltar que os atores de ameaças frequentemente usam o Discord como vetor de ataque, com uma análise recente da Bitdefender descobrindo mais de 50.000 links perigosos distribuindo malware, campanhas de phishing e spam nos últimos seis meses.

Dentro do arquivo ZIP, há outro arquivo JavaScript ("Update.js"), que dispara a execução de scripts do PowerShell responsáveis ​​por recuperar payloads adicionais, incluindo BitRAT e Lumma Stealer, de um servidor remoto na forma de arquivos de imagem PNG.

Também são recuperados dessa maneira scripts do PowerShell para estabelecer persistência e um carregador (.NET-based loader) que é usado principalmente para lançar o malware de última fase.

A eSentire postulou que o carregador é provavelmente anunciado como um "serviço de entrega de malware" devido ao fato de o mesmo carregador ser usado para implantar tanto o BitRAT quanto o Lumma Stealer.

BitRAT é um RAT rico em recursos que permite aos atacantes colher dados, minerar criptomoedas, baixar mais binários e comandar remotamente os hosts infectados.

Lumma Stealer, um malware stealer de mercadoria disponível por US$ 250 a US$ 1.000 por mês desde agosto de 2022, oferece a capacidade de capturar informações de navegadores web, carteiras cripto e outros detalhes sensíveis.

“O truque de atualização falsa do navegador se tornou comum entre atacantes como meio de entrada em um dispositivo ou rede”, disse a empresa, acrescentando que “mostra a capacidade do operador de alavancar nomes confiáveis ​​para maximizar o alcance e o impacto”.

Embora tais ataques normalmente aproveitem downloads drive-by e técnicas de malvertising, a ReliaQuest, em um relatório publicado na semana passada, disse ter descoberto uma nova variante da campanha ClearFake que engana os usuários a copiar, colar e executar manualmente código PowerShell malicioso sob o pretexto de uma atualização do navegador.

Especificamente, o site malicioso afirma que "algo deu errado ao exibir esta página da web" e instrui o visitante do site a instalar um certificado raiz para resolver o problema, seguindo uma série de etapas, que envolve copiar código PowerShell ofuscado e executá-lo em um terminal PowerShell.

"Após a execução, o código PowerShell realiza múltiplas funções, incluindo limpar o cache DNS, exibir uma caixa de mensagem, baixar mais código PowerShell e instalar o malware 'LummaC2'", disse a empresa.

De acordo com as informações compartilhadas pela empresa de cibersegurança, Lumma Stealer emergiu como um dos stealers de informações mais prevalentes em 2023, ao lado de RedLine e Raccoon.

"O número de logs obtidos por LummaC2 listados à venda aumentou 110% do Q3 para o Q4 de 2023", observou.

A crescente popularidade do LummaC2 entre os adversários deve-se provavelmente à sua alta taxa de sucesso, que se refere à sua eficácia em infiltrar-se com sucesso em sistemas e exfiltrar dados sensíveis sem detecção.

Esse desenvolvimento ocorre enquanto o AhnLab Security Intelligence Center (ASEC) divulgou detalhes de uma nova campanha que emprega webhards (abreviação de web hard drive) como um conduto para distribuir instaladores maliciosos para jogos adultos e versões crackeadas do Microsoft Office e, finalmente, implantar uma variedade de malware, como Orcus RAT, minerador XMRig, 3proxy e XWorm.

Cadeias de ataque semelhantes envolvendo sites que oferecem software pirata levaram à implantação de malware loaders como PrivateLoader e TaskLoader, que são ambos oferecidos como um serviço pay-per-install (PPI) para que outros criminosos cibernéticos entreguem seus próprios payloads.

Isso também segue as novas descobertas da Silent Push sobre o uso "quase exclusivo" do CryptoChameleon dos nameservers DNSPod[.]com para apoiar sua arquitetura de kit de phishing.

O DNSPod, parte da empresa chinesa Tencent, tem um histórico de prestação de serviços para operadores de hospedagem bulletproof maliciosos.

"O CryptoChameleon usa nameservers DNSPod para se engajar em técnicas de evasão de fast flux que permitem que os atores de ameaças alternem rapidamente através de grandes quantidades de IPs vinculados a um único nome de domínio", disse a empresa.

"O fast flux permite que a infraestrutura do CryptoChameleon evite contramedidas tradicionais e reduza significativamente o valor operacional de IOCs legados pontuais", utilizando pelo menos sete contas principais de mídia social e uma rede CIB de mais de 250 contas.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...