Trojan Fruity Usa Instaladores de Software Enganosos para Espalhar o RAT Remcos
31 de Julho de 2023

Atuantes malevolentes estão criando sites falsos para hospedar instaladores de softwares contaminados com o objetivo de enganar usuários desavisados a baixar um malware chamado Fruity, cujo objetivo é a instalação remota de Trojans como o Remcos RAT.

"Dentre os softwares em questão estão vários instrumentos para ajuste de CPUs, placas gráficas e BIOS; ferramentas de monitoramento de hardware de PC; e outros aplicativos", disse o fornecedor de cibersegurança Doctor Web em uma análise.

"Esses instaladores são usados como isca e contêm não só o software de interesse das vítimas potenciais, mas também o próprio trojan com todos os seus componentes."

O vetor de acesso inicial exato usado na campanha não é claro, mas poderia variar de phishing a downloads diretos a anúncios maliciosos.

Os usuários que acessam o site falso são orientados a baixar um pacote de instalação ZIP.

O instalador, além de ativar o processo padrão de instalação, discretamente, despeja o trojan Fruity, um malware baseado em Python que desembala um arquivo MP3 ("Idea.mp3") para carregar um arquivo de imagem ("Fruit.png") e ativar a infecção de multi-estágio.

"Este arquivo de imagem usa o método de esteganografia para esconder dois executáveis (bibliotecas .dll) e o shellcode para a inicialização da próxima etapa", disse a Doctor Web.

O Fruity também é projetado para evitar a detecção de antivírus no host comprometido e, finalmente, lançar o payload Remcos RAT usando uma técnica chamada processo doppelgänging.

Dito isto, a sequência de ataque poderia ser explorada para distribuir todos os tipos de malware, o que torna imperativo que os usuários se limitem a baixar softwares apenas de fontes confiáveis.

Isso vem à tona quando a Bitdefender divulgou detalhes de uma campanha de malspam entregando o malware Agent Tesla para colher dados sensíveis de pontos finais comprometidos.

Também segue um aumento nas operações de malvertising que visaram clientes e empresas com software contaminado impulsionado por anúncios em motores de busca.

Isso inclui uma nova onda de ataques apelidada de Nitrogênio na qual arquivos ISO fraudulentos são distribuídos usando anúncios falsos que se passam por páginas de download de aplicativos como AnyDesk, WinSCP, Cisco AnyConnect, Slack e TreeSize.

"Esta campanha de malvertising leva à propagação da infecção após a exposição inicial", disseram os pesquisadores da Bitdefender Victor Vrabie e Alexandru Maximciuc.

"Enquanto permanecem na rede da vítima, o principal objetivo dos invasores é obter credenciais, estabelecer persistência em sistemas importantes e exfiltrar dados, com extorsão como objetivo final."

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...