Loader-as-a-Service (LaaS), conocido como FakeBat, se ha convertido en una de las familias de malware de cargador más frecuentes distribuidas mediante la técnica de descarga no autorizada este año, según descubrió Sekoia.
«FakeBat tiene como objetivo principal descargar y ejecutar la carga útil de la siguiente etapa, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif», dijo la compañía. dicho en un análisis del martes.
Los ataques encubiertos implican el uso de métodos como el envenenamiento por optimización de motores de búsqueda (SEO), publicidad maliciosa e inyecciones de códigos dañinos en sitios comprometidos para engañar a los usuarios para que descarguen programas falsos o actualizaciones del navegador.
El uso de cargadores de malware en los últimos años es parte de una tendencia creciente de páginas de destino que se hacen pasar por sitios web de software legítimos haciéndolas pasar por instaladores legítimos. Esto encaja en el contexto más amplio de que el phishing y la ingeniería social siguen siendo una de las principales formas en que los malos actores obtienen acceso inicial.
FakeBat, también conocido como EugenLoader y PaykLoader, ha sido ofrecido a otros ciberdelincuentes bajo un modelo de suscripción LaaS en foros clandestinos por un actor de amenazas de habla rusa llamado Eugenfest (también conocido como Payk_34) desde al menos diciembre de 2022.
El cargador está diseñado para eludir los mecanismos de seguridad y brinda a los clientes opciones para generar compilaciones utilizando plantillas para troyanizar software legítimo, así como monitorear las instalaciones a lo largo del tiempo a través de un panel administrativo.
Si bien las versiones anteriores usaban un formato MSI para compilaciones de malware, las iteraciones recientes vistas desde septiembre de 2023 cambiaron a un formato MSIX y agregaron una firma digital al instalador con un certificado válido para evitar las protecciones de Microsoft SmartScreen.
El malware está disponible por 1.000 dólares por semana y 2.500 dólares por mes para el formato MSI, 1.500 dólares por semana y 4.000 dólares por mes para el formato MSIX, y 1.800 dólares por semana y 5.000 dólares por mes para el paquete combinado de MSI y firma.
Sekoia dijo que detectó diferentes grupos de actividades que difunden FakeBat a través de tres enfoques principales: suplantación de software popular a través de anuncios maliciosos de Google, actualizaciones falsas del navegador web a través de sitios comprometidos y estrategias de ingeniería social en las redes sociales. Esto incluye campañas probablemente vinculadas al grupo FIN7, Nitrogen y BATLOADER.
“Además de albergar cargas útiles, FakeBat [command-and-control] «Lo más probable es que los servidores filtren el tráfico en función de características como el valor del agente de usuario, la dirección IP y la ubicación», dijo Sekoia. “Esto permite que el malware se distribuya a objetivos específicos. »
Esta revelación se produce cuando el Centro de inteligencia de seguridad de AhnLab (ASEC) detalló una campaña de malware que distribuye otro cargador llamado DBatLoader (también conocido como ModiLoader y NatsoLoader) a través de correos electrónicos de phishing con temas de facturas.
También rastrea el descubrimiento de cadenas de infección que propagan Hijack Loader (también conocido como DOILoader e IDAT Loader) a través de sitios de descarga de películas pirateadas para, en última instancia, entregar el ladrón de información de Lumma.
«Esta campaña IDATLOADER utiliza una compleja cadena de infección que contiene múltiples capas de ofuscación directa basada en código, así como trucos innovadores para ocultar aún más la naturaleza maliciosa del código», dijo Dave Truman, investigador de Kroll.
“La infección implicó el uso del archivo mshta.exe de Microsoft para ejecutar código enterrado en lo profundo de un archivo especialmente diseñado que se hacía pasar por una clave secreta PGP. La campaña utilizó adaptaciones novedosas de técnicas comunes y una fuerte ofuscación para ocultar el código malicioso de la detección. »
También se han observado campañas de phishing que difunden Remcos RAT, con un nuevo actor de amenazas de Europa del Este llamado Unfurling Hemlock que explota cargadores y correos electrónicos para lanzar archivos binarios que actúan como una «bomba de racimo» para difundir diferentes cepas de malware a la vez.
“El malware distribuido mediante esta técnica se compone principalmente de ladrones, como RedLine, RisePro y Mystic Stealer, y cargadores como Amadey y Cargador de humo» dijo Héctor García, investigador de Outpost24.
“La mayoría de los primeros pasos se detectaron cuando se enviaron por correo electrónico a diferentes empresas o cuando se publicaron desde sitios externos contactados por remitentes externos. »