Специалисты Trellix в середине апреля 2024 года обнаружили несколько поддельных сайтов, имитирующих сервисы Avast, Bitdefender и Malwarebytes, которые злоумышленники используют для распространения инфостилеров среди пользователей Android и Windows. Об этом пишет Securitylab.
Были обнаружены следующие сайты:
avast-securedownload[.]com – используется для доставки трояна SpyNote в виде APK-файла («Avast.apk»). Анализ разрешений, запрашиваемых файлом, показал, что вредоносное ПО способно:
Malwarebytes[.]pro – используется для доставки RAR-архива («MBSetup.rar»), который развертывает вредоносное ПО StealC для кражи данных. Внутри архива также инструмент для создания инсталляторов Inno Setup, файл readme и несколько легитимных DLL.
Вредоносный код собирает и передает на сервер следующую информацию, помимо прочего:
bitdefender-app[.]com – распространяет ZIP-архив («setup-win-x86-x64.exe.zip»), в котором содержится вредоносное ПО Lumma Stealer. Исследование показало, что файл использует обратные вызовы TLS для выполнения вредоносной активности до точки входа.
Вредоносное ПО декодирует скрытые строки и внедряет их в «BitLockerToGo.exe» из системного каталога Windows. Основная цель вредоносного ПО — сбор и кража конфиденциальной информации, такой как имя ПК, имя пользователя, данные о системе и браузере.
Также были выявлены вредоносные бинарные файлы Trellix, маскирующиеся под легитимные. Например, AMCoreDat.exe создает и наполняет вредоносным содержимым несколько файлов в каталоге %appdata%, что затрудняет обнаружение антивирусами.
Дальше файлы собираются в один бинарный файл, который затем крадет информацию с устройства, в том числе данные для входа, cookie-файлы, история браузера, имя пользователя, и отправляет ее на C2-сервер.