Το loader-as-a-service (LaaS) γνωστό ως FakeBat έχει γίνει μια από τις πιο διαδεδομένες οικογένειες loader κακόβουλου λογισμικού (malware) που διανέμονται χρησιμοποιώντας την τεχνική drive-by download, σύμφωνα με πληροφορίες της Sekoia.
«Το FakeBat στοχεύει πρωτίστως να κατεβάσει και να εκτελέσει το ωφέλιμο φορτίο επόμενου σταδίου, όπως τα IcedID, Lumma, RedLine, SmokeLoader, SectopRAT και Ursnif», ανέφερε η εταιρεία σε ανάλυση της Τρίτης.
Οι επιθέσεις Drive-by συνεπάγονται τη χρήση μεθόδων όπως το poisoning των μηχανών αναζήτησης (SEO), η κακόβουλη διαφήμιση και οι κακόβουλα injections σε παραβιασμένους ιστότοπους για να παρακινήσουν τους χρήστες να κατεβάσουν πλαστά προγράμματα εγκατάστασης λογισμικού ή ενημερώσεις προγράμματος περιήγησης.
Διαβάστε σχετικά: Το Evasive SquidLoader Malware στοχεύει κινέζικους οργανισμούς
Η χρήση προγραμμάτων φόρτωσης κακόβουλου λογισμικού τα τελευταία χρόνια συνδυάζεται με την αυξανόμενη χρήση σελίδων προορισμού που υποδύονται νόμιμους ιστότοπους λογισμικού, παραδίδοντάς τους ως νόμιμους εγκαταστάτες. Αυτό συνδέεται με την ευρύτερη πτυχή ότι το phishing και η κοινωνική μηχανική παραμένουν ένας από τους κύριους τρόπους των χάκερς για την απόκτηση αρχικής πρόσβασης.
Το FakeBat, γνωστό και ως EugenLoader και PaykLoader, προσφέρεται σε άλλους εγκληματίες του κυβερνοχώρου υπό ένα μοντέλο συνδρομής LaaS σε υπόγεια φόρουμ από έναν ρωσόφωνο ηθοποιό απειλών που ονομάζεται Eugenfest (γνωστός και ως Payk_34) και είναι ενεργός τουλάχιστον από τον Δεκέμβριο του 2022.
Ο loader έχει σχεδιαστεί για να παρακάμπτει τους μηχανισμούς ασφαλείας και παρέχει στους πελάτες επιλογές για τη δημιουργία κατασκευών με τη χρήση προτύπων για το trojan του νόμιμου λογισμικού, καθώς και την παρακολούθηση εγκαταστάσεων με την πάροδο του χρόνου μέσω ενός πίνακα διαχείρισης.
Ενώ οι προηγούμενες εκδόσεις χρησιμοποιούσαν μια μορφή MSI για τις εκδόσεις κακόβουλου λογισμικού, οι πρόσφατες επαναλήψεις που παρατηρήθηκαν από τον Σεπτέμβριο του 2023 άλλαξαν σε μορφή MSIX και πρόσθεσαν ψηφιακή υπογραφή στο πρόγραμμα εγκατάστασης με έγκυρο πιστοποιητικό για να παρακάμψουν τις προστασίες Microsoft SmartScreen.
Το κακόβουλο λογισμικό είναι διαθέσιμο για 1.000 $ την εβδομάδα και 2.500 $ το μήνα για τη μορφή MSI, 1.500 $ την εβδομάδα και 4.000 $ το μήνα για τη μορφή MSIX και 1.800 $ την εβδομάδα και 5.000 $ το μήνα για το συνδυασμένο πακέτο MSI.
Δείτε περισσότερα: Το νέο Unfurling Hemlock πλημμυρίζει τα συστήματα με malware
Η Sekoia είπε ότι εντόπισε διαφορετικά συμπλέγματα δραστηριοτήτων που διαδίδουν το FakeBat με τρεις βασικές προσεγγίσεις: πλαστοπροσωπία δημοφιλούς λογισμικού μέσω κακόβουλων διαφημίσεων Google, ψεύτικες ενημερώσεις προγράμματος περιήγησης ιστού μέσω παραβιασμένων ιστότοπων και συστήματα κοινωνικής μηχανικής στα social media. Αυτό περιλαμβάνει καμπάνιες που πιθανώς σχετίζονται με την ομάδα FIN7, το Nitrogen και το BATLOADER.
“Εκτός από τη φιλοξενία ωφέλιμων φορτίων, οι servers FakeBat [εντολών και ελέγχου] είναι πολύ πιθανό να φιλτράρουν την κυκλοφορία με βάση χαρακτηριστικά όπως η τιμή του παράγοντα χρήστη, η διεύθυνση IP και η τοποθεσία”, είπε η Sekoia. “Αυτό επιτρέπει τη διανομή του κακόβουλου λογισμικού σε συγκεκριμένους στόχους.”
Το Κέντρο Πληροφοριών Ασφαλείας AhnLab (ASEC) περιέγραψε μια καμπάνια κακόβουλου λογισμικού που διανέμει έναν άλλο φορτωτή με το όνομα DBatLoader (γνωστός και ως ModiLoader και NatsoLoader) μέσω μηνυμάτων phishing με θέμα τα τιμολόγια.
Ακολουθεί επίσης την ανακάλυψη αλυσίδων μόλυνσης που διαδίδουν το Hijack Loader (γνωστό και ως DOILoader και IDAT Loader) μέσω πειρατικών τοποθεσιών λήψης ταινιών για να παραδώσουν τελικά τον κλέφτη πληροφοριών Lumma.
«Αυτή η καμπάνια IDATLOADER χρησιμοποιεί μια σύνθετη αλυσίδα μόλυνσης που περιέχει πολλαπλά επίπεδα άμεσης συσκότισης που βασίζεται σε κώδικα μαζί με καινοτόμα κόλπα για να κρύψει περαιτέρω την κακόβουλη χρήση του κώδικα», δήλωσε ο ερευνητής του Kroll, Dave Truman.
“Η μόλυνση στηρίχτηκε στη χρήση του mshta.exe της Microsoft για την εκτέλεση κώδικα που ήταν θαμμένος βαθιά μέσα σε ένα ειδικά δημιουργημένο αρχείο που μεταμφιέζεται σε μυστικό κλειδί PGP. Η καμπάνια χρησιμοποίησε νέες προσαρμογές κοινών τεχνικών και έντονη συσκότιση για να κρύψει τον κακόβουλο κώδικα από τον εντοπισμό.”
Έχουν παρατηρηθεί περαιτέρω εκστρατείες phishing που παρέχουν το Remcos RAT, με έναν νέο παράγοντα απειλών από την Ανατολική Ευρώπη που ονομάζεται Unfurling Hemlock να αξιοποιεί φορτωτές και email για να ρίχνει δυαδικά αρχεία που λειτουργούν ως «βόμβα συμπλέγματος» για τη διάδοση διαφορετικών στελεχών κακόβουλου λογισμικού ταυτόχρονα.
Διαβάστε επίσης: Χρήστες Mac εκτέθηκαν σε info-stealer malware μέσω Google Ads
“Το κακόβουλο λογισμικό που διανέμεται χρησιμοποιώντας αυτή την τεχνική αποτελείται κυρίως από χάκερς, όπως το RedLine, το RisePro και το Mystic Stealer, και loaders όπως το Amadey και το SmokeLoader”, δήλωσε ο ερευνητής του Outpost24, Hector Garcia.
“Τα περισσότερα από τα πρώτα στάδια εντοπίστηκαν να αποστέλλονται μέσω email σε διαφορετικές εταιρείες ή να απορρίπτονται από εξωτερικούς ιστότοπους με τους οποίους ήρθαν σε επαφή εξωτερικοί loaders.”
Πηγή: thehackernews
 γνωστό ως FakeBat έχει γίνει μια από τις πιο διαδεδομένες οικογένειες loader κακόβουλου λογισμικού (malware) που διανέμονται χρησιμοποιώντας την τεχνική drive-by download, σύμφωνα με πληροφορίες της Sekoia.){kind=link}