Неуловимый вредонос с золотым ценником стал ещё более скрытным и опасным.
Мошенническое ПО FakeBat, распространяемое с помощью техники drive-by download, стало одним из самых распространённых вредоносных программ этого года, сообщает в своём недавнем отчёте компания Sekoia.
FakeBat предназначен для загрузки и выполнения следующего этапа вредоносного ПО, такого как IcedID, Lumma, RedLine, SmokeLoader, SectopRAT и Ursnif. Вредоносные программы распространяются через методы, такие как SEO Poisoning, вредоносная реклама и инъекции кода на скомпрометированные сайты, чтобы заставить пользователей скачивать поддельные установщики или обновления браузеров.
В последние годы распространение загрузчиков вредоносных программ усилилось за счёт использования фальшивых страниц, имитирующих легитимное программное обеспечение. Фишинг и социальная инженерия остаются основными методами, которые используют злоумышленники для получения начального доступа.
FakeBat, известный также как EugenLoader и PaykLoader, продаётся на подпольных форумах по модели LaaS (Loader-as-a-Service) с декабря 2022 года. Этот загрузчик разработан для обхода защитных механизмов и позволяет пользователям создавать сборки, используя шаблоны для троянизации легитимного ПО. Также он предоставляет возможность мониторинга установок через панель администратора.
Если в более ранних версиях FakeBat хакеры использовали преимущественно MSI-формат для создания вредоносных программ, то с сентября 2023 года перешли на формат MSIX и добавили цифровую подпись с действительным сертификатом, чтобы обходить защиту Microsoft SmartScreen.
Стоимость использования FakeBat составляет весьма внушительные суммы:
Sekoia обнаружила несколько способов распространения FakeBat: через поддельные объявления Google, фальшивые обновления браузеров на скомпрометированных сайтах и схемы социальной инженерии в социальных сетях. В кампании с использованием FakeBat вовлечены такие киберпреступные группы FIN7, Nitrogen и BATLOADER. C2-серверы FakeBat фильтруют трафик по таким характеристикам, как User-Agent, IP-адрес и местоположение, что позволяет нацеливать вредоносное ПО на конкретные цели.
Находки экспертов Sekoia были опубликованы одновременно с сообщением Центра безопасности AhnLab (ASEC) о кампании по распространению другого загрузчика — DBatLoader через фишинговые письма на тему счетов. Также была выявлена цепочка заражений, распространяющая Hijack Loader через сайты с пиратскими фильмами, которая в итоге устанавливает вредоносное ПО Lumma.
Ладно, не доказали. Но мы работаем над этим