Pesquisadores de cibersegurança divulgaram uma nova campanha maliciosa que utiliza um website falso anunciando software antivírus da Bitdefender para enganar as vítimas fazendo-as baixar um remote access trojan chamado Venom RAT.
A campanha indica uma "clara intenção de mirar indivíduos para ganho financeiro comprometendo suas credenciais, carteiras de criptomoedas e, potencialmente, vendendo acesso aos seus sistemas," a equipe de Inteligência da DomainTools (DTI) disse em um novo relatório compartilhado com a imprensa.
O site em questão, "bitdefender-download[.]com," publicita para os visitantes do site baixarem a versão Windows do software Antivirus.
Clicar no botão proeminente "Download for Windows" inicia um download de arquivo de um repositório Bitbucket que redireciona para um bucket do Amazon S3.
A conta do Bitbucket não está mais ativa.
O arquivo ZIP ("BitDefender.zip") contém um executável chamado "StoreInstaller.exe", que inclui configurações de malware associadas ao Venom RAT, assim como código relacionado ao framework de pós-exploração de código aberto SilentTrinity e ao stealer StormKitty.
Venom RAT é um desdobramento do Quasar RAT que vem com capacidades de colher dados e fornecer acesso remoto persistente aos atacantes.
DomainTools disse que o site isca se passando pela Bitdefender compartilha sobreposições temporais e de infraestrutura com outros domínios maliciosos que imitam bancos e serviços de TI genéricos que foram usados como parte de atividades de phishing para colher credenciais de login associadas ao Royal Bank of Canada e Microsoft.
"Estas ferramentas trabalham em conjunto: Venom RAT se infiltra, StormKitty agarra suas senhas e informações da carteira digital, e SilentTrinity garante que o atacante possa permanecer oculto e manter controle," a empresa disse.
Esta campanha sublinha uma tendência constante: atacantes estão usando malware sofisticado e modular construído a partir de componentes de código aberto.
Esta abordagem de 'construa seu próprio malware' torna esses ataques mais eficientes, furtivos e adaptáveis.
A divulgação vem enquanto a Sucuri alertou para uma campanha estilo ClickFix que emprega páginas falsas do Google Meet para enganar usuários a instalarem o noanti-vm.bat RAT, um script de lote Windows altamente ofuscado que concede controle remoto sobre o computador da vítima.
"Esta página falsa do Google Meet não apresenta um formulário de login para roubar credenciais diretamente," disse a pesquisadora de segurança Puja Srivastava.
Em vez disso, emprega uma tática de engenharia social, apresentando um erro falso de 'Permissão de Microfone Negada' e urgindo o usuário a copiar e colar um comando específico do PowerShell como uma 'correção'. Isso também segue um aumento nos ataques de phishing que exploram a plataforma de desenvolvimento sem código do Google's AppSheet para montar uma campanha altamente direcionada e sofisticada se passando pela Meta.
"Utilizando táticas de ponta como identificadores polimórficos, mecanismos de proxy avançado man-in-the-middle e técnicas de bypass de autenticação multifator (MFA), os atacantes visam colher credenciais e códigos de autenticação de dois fatores (2FA), possibilitando acesso em tempo real a contas de mídia social," disse o KnowBe4 Threat Lab em um relatório.
A campanha envolve o uso do AppSheet para entregar e-mails phishing em larga escala, permitindo que os atores de ameaças contornem defesas de segurança de e-mails como SPF, DKIM e DMARC devido ao fato de que as mensagens se originam de um domínio válido ("noreply@appsheet[.]com").
Além disso, os e-mails afirmam ser do Suporte do Facebook e empregam avisos de exclusão de conta para enganar os usuários a clicarem em links falsos sob o pretexto de enviar um recurso dentro de um período de 24 horas.
Os links armadilhados levam as vítimas para uma página de phishing adversário-no-meio (AitM) projetada para colher suas credenciais e códigos de autenticação de dois fatores (2FA).
"Para ainda mais evadir detecção e complicar a remediação, os atacantes aproveitam a funcionalidade do AppSheets para gerar IDs únicos, mostrados como Case IDs no corpo do e-mail," disse a empresa .
A presença de identificadores polimórficos únicos em cada e-mail de phishing garante que cada mensagem seja ligeiramente diferente, ajudando-os a contornar sistemas de detecção tradicionais que dependem de indicadores estáticos, como hashes ou URLs maliciosas conhecidas.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...