{"id":20867,"date":"2024-09-14T18:59:41","date_gmt":"2024-09-14T21:59:41","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=20867"},"modified":"2024-09-14T19:05:53","modified_gmt":"2024-09-14T22:05:53","slug":"criminosos-ciberneticos-exploram-por-softwares-populares-para-espalhar-malware-fakebat","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/09\/exploits\/criminosos-ciberneticos-exploram-por-softwares-populares-para-espalhar-malware-fakebat\/","title":{"rendered":"Criminosos cibern\u00e9ticos exploram por softwares populares para espalhar malware FakeBat"},"content":{"rendered":"\n

Criminosos cibern\u00e9ticos exploram buscas por softwares populares para espalhar malware FakeBat<\/p>\n

Nos \u00faltimos meses, pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram um aumento significativo em infec\u00e7\u00f5es por malware, resultantes de campanhas de malvertising (publicidade maliciosa) que distribuem um carregador de malware chamado FakeBat.<\/p>\n

Segundo um relat\u00f3rio t\u00e9cnico da equipe Mandiant Managed Defense, “esses ataques s\u00e3o oportunistas por natureza, visando usu\u00e1rios que buscam softwares empresariais populares”. O ataque ocorre por meio de um instalador MSIX trojanizado, que executa um script PowerShell para baixar uma carga maliciosa secund\u00e1ria.<\/p>\n

\u00a0<\/p>\n

Modo\u00a0 operante do malware FakeBat\u00a0<\/h2>\n

\u00a0<\/p>\n

FakeBat, tamb\u00e9m conhecido como EugenLoader e PaykLoader, est\u00e1 associado a um grupo de amea\u00e7as chamado Eugenfest. A equipe de intelig\u00eancia de amea\u00e7as da Mandiant, uma subsidi\u00e1ria da Google, acompanha esse malware sob o nome NUMOZYLOD. Essa opera\u00e7\u00e3o de Malware-como-Servi\u00e7o (MaaS) \u00e9 atribu\u00edda a um grupo denominado UNC4536.<\/p>\n

As cadeias de ataque que propagam o FakeBat utilizam t\u00e9cnicas de drive-by download<\/em>, direcionando usu\u00e1rios que buscam softwares populares para sites falsos que hospedam instaladores MSI armadilhas. Entre as fam\u00edlias de malware entregues pelo FakeBat est\u00e3o IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (tamb\u00e9m conhecido como ArechClient2) e Carbanak, um malware frequentemente associado ao grupo cibercriminoso FIN7.<\/p>\n

\n
\u00a0<\/div>\n<\/div>\n
\n
\"FakeBat<\/a><\/div>\n

\u00a0<\/p>\n<\/div>\n

Estrat\u00e9gia de distribui\u00e7\u00e3o do UNC4536<\/h2>\n

\u00a0<\/p>\n

O grupo UNC4536 utiliza malvertising para distribuir instaladores MSIX trojanizados disfar\u00e7ados como softwares populares, como Brave, KeePass, Notion, Steam e Zoom. “Esses instaladores MSIX trojanizados s\u00e3o hospedados em sites projetados para imitar p\u00e1ginas leg\u00edtimas de distribui\u00e7\u00e3o de software, enganando os usu\u00e1rios a baix\u00e1-los”, explica o relat\u00f3rio da Mandiant.<\/p>\n

O ataque se destaca pelo uso desses instaladores MSIX que t\u00eam a capacidade de executar scripts antes de iniciar o aplicativo principal, usando uma configura\u00e7\u00e3o conhecida como startScript<\/em>. Essa funcionalidade permite que o malware seja carregado no sistema antes mesmo que o software original seja iniciado, garantindo uma infiltra\u00e7\u00e3o discreta e eficaz.<\/p>\n

\"FakeBat<\/a><\/div>\n

\u00a0<\/h2>\n

\u00a0<\/p>\n

FakeBat como ve\u00edculo de distribui\u00e7\u00e3o<\/h2>\n

\u00a0<\/p>\n

O UNC4536 atua como um distribuidor de malware, ou seja, o FakeBat serve como um ve\u00edculo para entregar cargas maliciosas de segunda etapa aos seus parceiros de neg\u00f3cios, que podem incluir grupos criminosos como o FIN7.<\/p>\n

O malware NUMOZYLOD, parte dessa opera\u00e7\u00e3o, coleta informa\u00e7\u00f5es do sistema, incluindo detalhes do sistema operacional, se o dispositivo est\u00e1 em um dom\u00ednio e quais produtos de antiv\u00edrus est\u00e3o instalados. Em algumas variantes, o malware tamb\u00e9m coleta os endere\u00e7os IP p\u00fablicos (IPv4 e IPv6) do host e envia essas informa\u00e7\u00f5es ao seu servidor de comando e controle (C2). Al\u00e9m disso, o FakeBat cria um atalho (.lnk) na pasta de inicializa\u00e7\u00e3o do sistema, garantindo sua persist\u00eancia.<\/p>\n

\u00a0<\/p>\n

Amea\u00e7a cont\u00ednua<\/h2>\n

\u00a0<\/p>\n

Essa revela\u00e7\u00e3o vem pouco mais de um m\u00eas ap\u00f3s a Mandiant tamb\u00e9m ter detalhado o ciclo de ataque relacionado a outro downloader<\/em> de malware chamado EMPTYSPACE (tamb\u00e9m conhecido como BrokerLoader ou Vetta Loader). Esse outro malware tem sido utilizado por um grupo de amea\u00e7as financeiras denominado UNC4990 para facilitar a exfiltra\u00e7\u00e3o de dados e atividades de cryptojacking<\/em>, especialmente visando entidades na It\u00e1lia.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o<\/h2>\n

\u00a0<\/p>\n

A explora\u00e7\u00e3o de buscas por softwares populares por meio de malvertising continua sendo uma amea\u00e7a significativa para usu\u00e1rios e empresas em todo o mundo. Campanhas como as que envolvem o FakeBat demonstram como criminosos cibern\u00e9ticos est\u00e3o constantemente inovando suas t\u00e1ticas, aproveitando-se de software leg\u00edtimo e de t\u00e9cnicas cada vez mais sofisticadas para distribuir malware e obter ganhos financeiros il\u00edcitos. Para mitigar esses riscos, \u00e9 crucial que usu\u00e1rios e organiza\u00e7\u00f5es adotem medidas de seguran\u00e7a robustas, como o uso de solu\u00e7\u00f5es antiv\u00edrus atualizadas, verifica\u00e7\u00e3o de fontes de download e treinamento cont\u00ednuo de conscientiza\u00e7\u00e3o em seguran\u00e7a cibern\u00e9tica.<\/p>\n

\u00a0<\/p>\n

Fonte: https:\/\/thehackernews.com\/2024\/08\/cybercriminals-exploit-popular-software.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Criminosos cibern\u00e9ticos exploram buscas por softwares populares para espalhar malware FakeBat Nos \u00faltimos meses, pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram um aumento significativo em infec\u00e7\u00f5es por malware, resultantes de campanhas de malvertising (publicidade maliciosa) que distribuem um carregador de malware chamado FakeBat. Segundo um relat\u00f3rio t\u00e9cnico da equipe Mandiant Managed Defense, “esses ataques s\u00e3o oportunistas por […]<\/p>\n","protected":false},"author":2,"featured_media":20876,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-20867","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=20867"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20867\/revisions"}],"predecessor-version":[{"id":20875,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/20867\/revisions\/20875"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/20876"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=20867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=20867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=20867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}