Loader-as-a-service (LaaS) poznat kao FakeBat postao je jedna od najrasprostranjenijih familija zlonamjernog softvera za učitavanje koji se distribuira korištenjem tehnike preuzimanja u pogonu ove godine, otkrivaju otkrića Sekoie.
“FakeBat prvenstveno ima za cilj preuzimanje i izvršavanje sljedećeg stepena korisnog opterećenja, kao što su IcedID, Lumma, RedLine, SmokeLoader, SectopRAT i Ursnif”, navodi se u analizi kompanije.
Drive-by napadi podrazumijevaju korištenje metoda kao što su trovanje optimizacijom za pretraživače (SEO), zlonamjerno oglašavanje i zlobno ubrizgavanje koda u kompromitovane web lokacije kako bi se korisnici privukli da preuzmu lažne programe za instalaciju softvera ili ažuriranja pretraživača.
Korištenje učitavača zlonamjernog softvera u posljednjih nekoliko godina u skladu je sa sve većom upotrebom odredišnih stranica koje se imitiraju kao legitimne softverske web stranice tako što ih se izdaje kao legitimne instalere. Ovo je povezano sa širim aspektom da krađa identiteta i društveni inženjering ostaju jedan od glavnih načina da hakeri steknu početni pristup.
FakeBat, takođe poznat kao EugenLoader i PaykLoader, nudi se drugim cyber kriminalcima u okviru modela pretplate na LaaS na podzemnim forumima od strane ruskog govornog hakera po imenu Eugenfest (aka Payk_34) najmanje od decembra 2022. godine.
Učitavač je dizajniran tako da zaobiđe sigurnosne mehanizme i korisnicima pruža opcije za generisanje build-ova koristeći šablone za trojanizaciju legitimnog softvera, kao i praćenje instalacija tokom vremena preko administrativnog panela.
Dok su ranije verzije koristile MSI format za gradnje zlonamjernog softvera, nedavne iteracije uočene od septembra 2023. prešle su na MSIX format i dodale digitalni potpis instalateru s važećim certifikatom kako bi se zaobišla zaštita Microsoft SmartScreen.
Zlonamjerni softver je dostupan za 1.000 USD sedmično i 2.500 USD mjesečno za MSI format, 1.500 USD sedmično i 4.000 USD mjesečno za MSIX format, te 1.800 USD sedmično i 5.000 USD mjesečno za kombinovani MSI i paket potpisa.
Sekoia je rekla da je otkrila različite grupe aktivnosti koje šire FakeBat pomoću tri primarna pristupa: lažnog predstavljanja popularnog softvera putem zlonamjernih Google oglasa, lažnih ažuriranja web pretraživača putem kompromitiranih web lokacija i šema društvenog inženjeringa na društvenim mrežama. Ovo uključuje kampanje koje su vjerovatno povezane sa FIN7 grupom, Nitrogenom i BATLOADER-om.
“Pored hostinga korisnih podataka, FakeBat [komandni i kontrolni] serveri vrlo vjerovatno filtriraju promet na osnovu karakteristika kao što su vrijednost User-Agent, IP adresa i lokacija”, rekao je Sekoia. “Ovo omogućava distribuciju zlonamjernog softvera na određene mete.”
Otkrivanje dolazi nakon što je AhnLab Security Intelligence Center (ASEC) detaljno opisao kampanju zlonamjernog softvera koja distribuira još jedan učitavač pod nazivom DBatLoader (aka ModiLoader i NatsoLoader) putem phishing e-poruka s fakturom.
Takođe prati otkrivanje lanaca infekcije koji propagiraju Hijack Loader (aka DOILoader i IDAT Loader) preko sajtova za preuzimanje piratskih filmova kako bi se na kraju isporučio Lumma kradljivač informacija.
„Ova IDATLOADER kampanja koristi složeni lanac zaraze koji sadrži više slojeva direktnog zamagljivanja baziranog na kodu uz inovativne trikove kako bi se dodatno sakrila zlonamjernost koda“, rekao je Kroll istraživač Dave Truman.
“Infekcija je zavisila od upotrebe Microsoftovog mshta.exe za izvršavanje koda zakopanog duboko u posebno kreiranoj datoteci maskiranoj kao PGP tajni ključ. Kampanja je koristila nove adaptacije uobičajenih tehnika i tešku zamagljivanje kako bi se zlonamjerni kod sakrio od otkrivanja.”
Dalje su primijećene phishing kampanje koje isporučuju Remcos RAT, s novim hakerom iz istočne Europe pod nazivom Unfurling Hemlock koji koristi učitavače i e-poruke za izbacivanje binarnih datoteka koje djeluju kao “klaster bomba” za širenje različitih vrsta malvera odjednom.
„Zlonamjerni softver koji se distribuira pomoću ove tehnike uglavnom se sastoji od kradljivaca, kao što su RedLine, RisePro i Mystic Stealer, i učitavača kao što su Amadey i SmokeLoader“, rekao je istraživač Outpost24 Hector Garcia.
„Većina prvih faza je otkrivena da su poslate putem e-pošte različitim kompanijama ili da su izbačene sa eksternih sajtova koje su kontaktirali eksterni loaderi.”
Izvor:The Hacker News
