Atores de ameaças têm sido observados utilizando sites falsos que se passam por soluções legítimas de antivírus da Avast, Bitdefender e Malwarebytes para propagação de malware capazes de roubar informações sensíveis de dispositivos Android e Windows.
"Hospedar software malicioso através de sites que parecem legítimos é predatório para os consumidores em geral, especialmente para aqueles que procuram proteger seus dispositivos contra ataques cibernéticos," disse Gurumoorthi Ramanathan, pesquisador de segurança da Trellix.
A lista de sites está abaixo:
- avast-securedownload[.]com, que é usado para entregar o trojan SpyNote na forma de um arquivo de pacote Android ("Avast.apk") que, uma vez instalado, solicita permissões intrusivas para ler mensagens SMS e registros de chamadas, instalar e excluir aplicativos, tirar captura de tela, rastrear localização e até mesmo minerar criptomoedas.
- bitdefender-app[.]com, que é utilizado para entregar um arquivo ZIP ("setup-win-x86-x64.exe.zip") que implanta o malware de roubo de informações Lumma.
- malwarebytes[.]pro, que é usado para entregar um arquivo RAR ("MBSetup.rar") que implanta o malware de roubo de informações StealC.
A empresa de cibersegurança disse que também descobriu um binário Trellix falso chamado "AMCoreDat.exe" que serve como um conduto para soltar um malware stealer capaz de colher informações da vítima, incluindo dados do navegador, e exfiltrá-los para um servidor remoto.
Atualmente, não está claro como esses sites falsos são distribuídos, mas campanhas semelhantes no passado empregaram técnicas como malvertising e envenenamento de SEO (Search Engine Optimization).
Malwares stealers têm se tornado cada vez mais uma ameaça comum, com cibercriminosos anunciando inúmeras variantes personalizadas com variados níveis de complexidade.
Isso inclui novos stealers como Acrid, SamsStealer, ScarletStealer e Waltuhium Grabber, bem como atualizações para os existentes como o SYS01stealer (conhecido também como Album Stealer ou S1deload Stealer).
"O fato de novos stealers aparecerem de vez em quando, combinado com o fato de que sua funcionalidade e sofisticação varia bastante, indica que existe uma demanda de mercado criminosa por stealers," disse a Kaspersky em um relatório recente.
No início desta semana, a firma russa de cibersegurança também detalhou uma campanha de malware Gipy que capitaliza a popularidade das ferramentas de inteligência artificial (AI) anunciando um gerador de voz falso de AI através de sites de phishing.
Uma vez instalado, o Gipy carrega malware de terceiros hospedado no GitHub, variando de stealers de informações (Lumma, RedLine, RisePro e LOLI Stealer) e mineradores de criptomoedas (Apocalypse ClipBanker) a trojans de acesso remoto (DCRat e RADXRat) e backdoors (TrueClient).
Este desenvolvimento ocorre enquanto pesquisadores descobriram um novo trojan bancário para Android chamado Antidot que se disfarça como uma atualização do Google Play para facilitar o roubo de informações abusando das APIs de acessibilidade do Android e MediaProjection.
"Em termos de funcionalidade, o Antidot é capaz de keylogging, ataques de overlay, exfiltração de SMS, capturas de tela, roubo de credenciais, controle do dispositivo e execução de comandos recebidos dos atacantes," disse a Symantec, pertencente à Broadcom, em um boletim.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...