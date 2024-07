Sekoia Threat Detection & Research (TDR) conduziu uma pesquisa sobre o FakeBat, um loader e dropper de software malicioso. Com isso, descobriu que ele é uma das maiores ameaças cibernéticas do primeiro semestre de 2024.

Ele age imitando um site legítimo, comprometendo um site ou por meio de esquemas de engenharia social em redes sociais para fazer cada vez mais vítimas.

A pior parte é que esse malware está sendo distribuído como um modelo de assinatura de loader como serviço (LaaS). Portanto, isso significa que mais criminosos cibernéticos, incluindo os iniciantes, estão tendo acesso a ele.

O FakeBat, também conhecido como PaykLoader e EugenLoader, surgiu como uma das ameaças cibernéticas mais perigosas no primeiro semestre de 2024.

O software malicioso envolve drive-by downloads, que é uma técnica que envolve malvertising, envenenamento de SEO e inserção de código malicioso em sites que foram comprometidos. Os usuários são então enganados para que baixem o malware disfarçado de uma atualização ou aplicativo falso.

Sobre o FakeBat e seu crescente impacto

A Sekoia Threat Detection & Research (TDR) conduziu uma pesquisa e descobriu que, ao longo de 2024, houve várias campanhas de distribuição do FakeBat. As últimas vítimas dessa ameaça cibernética incluem AnyDesk e Google Chrome. Em suma, ele engana os usuários por meio de três métodos:

Ao imitar um site real;

Ao comprometer um site legítimo real; ou

Por meio de esquemas de engenharia social em redes sociais.

Em seguida, no próximo estágio ele baixa um loader no dispositivo da vítima, tais como Lumma, IcedID, SmokeLoader, RedLine, SectopRAT e Ursni.

Acredita-se também que os servidores do FakeBat filtram o tráfego com base na localização, endereço IP e valor do agente do usuário para que possam atingir um público específico.

Durante a pesquisa, a Sekoia também descobriu que certos domínios vinculados aos servidores de comando e controle (C2) do FakeBat, incluindo 756-ads-info[.]site, 3010cars[.]top e 0212top[.]online, ficam frequentemente registrados com detalhes ocultos ou enganosos sobre a propriedade.

Esses domínios são os principais vetores por trás da distribuição de malware. Além disso, essas estratégias de distribuição são tão diversas que o FakeBat conseguiu escapar da detecção por um tempo realmente longo.

O pior é que o FakeBat está sendo oferecido a outros cibercriminosos como um modelo de assinatura de loader como serviço (LaaS) em fóruns da dark web projetados por um agente de ameaças baseado na Rússia chamado Eugenfest (também conhecido como Payk_34).

Infelizmente, usar o loader também é bem simples. Ele tem modelos que podem ser usados ​​por hackers para gerar builds. Isso os ajudaria a comprometer sites legítimos, bem como monitorar suas instalações por meio de um painel de administração.

O serviço está disponível por US$ 1.000 por semana (ou US$ 2.500 por mês) para o formato MSI (MSI é sua versão anterior) e US$ 1.500 por semana (ou US$ 4.000 por mês) para o formato MSIX (a versão mais recente). Além disso, uma combinação de MSI e o pacote de assinatura está disponível por US$ 1.800 por semana (ou US$ 5.000 por mês).