Вредонос FakeBat стал ещё более скрытным и опасным

Мошенническое ПО FakeBat, распространяемое с помощью техники drive-by download, стало одним из самых распространённых вредоносных программ этого года, сообщает в своём недавнем отчёте компания Sekoia.

FakeBat предназначен для загрузки и выполнения следующего этапа вредоносного ПО, такого как IcedID, Lumma, RedLine, SmokeLoader, SectopRAT и Ursnif. Вредоносные программы распространяются через методы, такие как SEO Poisoning, вредоносная реклама и инъекции кода на скомпрометированные сайты, чтобы заставить пользователей скачивать поддельные установщики или обновления браузеров, пишет Securitylab.

В последние годы распространение загрузчиков вредоносных программ усилилось за счёт использования фальшивых страниц, имитирующих легитимное программное обеспечение. Фишинг и социальная инженерия остаются основными методами, которые используют злоумышленники для получения начального доступа.

FakeBat, известный также как EugenLoader и PaykLoader, продаётся на подпольных форумах по модели LaaS (Loader-as-a-Service) с декабря 2022 года. Этот загрузчик разработан для обхода защитных механизмов и позволяет пользователям создавать сборки, используя шаблоны для троянизации легитимного ПО. Также он предоставляет возможность мониторинга установок через панель администратора.

Если в более ранних версиях FakeBat хакеры использовали преимущественно MSI-формат для создания вредоносных программ, то с сентября 2023 года перешли на формат MSIX и добавили цифровую подпись с действительным сертификатом, чтобы обходить защиту Microsoft SmartScreen.

Стоимость использования FakeBat составляет весьма внушительные суммы:

• $1000 в неделю и $2500 в месяц за MSI-формат;
• $1500 в неделю и $4000 в месяц за MSIX-формат;
• $1800 в неделю и $5000 в месяц за пакет с цифровой подписью.

Sekoia обнаружила несколько способов распространения FakeBat: через поддельные объявления Google, фальшивые обновления браузеров на скомпрометированных сайтах и схемы социальной инженерии в социальных сетях. В кампании с использованием FakeBat вовлечены такие киберпреступные группы FIN7, Nitrogen и BATLOADER. C2-серверы FakeBat фильтруют трафик по таким характеристикам, как User-Agent, IP-адрес и местоположение, что позволяет нацеливать вредоносное ПО на конкретные цели.

Находки экспертов Sekoia были опубликованы одновременно с сообщением Центра безопасности AhnLab (ASEC) о кампании по распространению другого загрузчика — DBatLoader через фишинговые письма на тему счетов. Также была выявлена цепочка заражений, распространяющая Hijack Loader через сайты с пиратскими фильмами, которая в итоге устанавливает вредоносное ПО Lumma.