(https://i.imgur.com/t4JNQ4D.png)
FakeBat, un cargador de malware conocido como LaaS (Loader as a Service), se ha convertido en una de las familias de malware más extendidas de 2023. Según Sekoia, este cargador se distribuye mediante técnicas de descarga no autorizada.
Funcionalidad y Objetivos de FakeBatFakeBat tiene como objetivo principal descargar y ejecutar cargas útiles de siguiente etapa, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif. "FakeBat está diseñado para monitorear clandestinamente las actividades de los usuarios, capturar información confidencial y establecer la persistencia en los sistemas comprometidos", afirma Cara Lin, investigadora de Fortinet FortiGuard Labs.
Método de AtaqueLos ataques drive-by utilizan técnicas como envenenamiento de SEO, publicidad maliciosa e inyecciones de código en sitios web comprometidos. Estos métodos atraen a los usuarios a descargar instaladores de software falsos o actualizaciones del navegador. FakeBat, también conocido como EugenLoader y PaykLoader, ha sido ofrecido bajo un modelo de suscripción en foros clandestinos por el actor de amenazas de habla rusa Eugenfest.
Evolución y Técnicas de EvasiónFakeBat está diseñado para eludir mecanismos de seguridad y ofrece a los clientes opciones para generar compilaciones usando plantillas que troyanizan software legítimo. Las versiones recientes de FakeBat han cambiado de formato MSI a MSIX y han añadido una firma digital válida para eludir las protecciones de Microsoft SmartScreen.
Modelos de Suscripción y DistribuciónFakeBat está disponible por $1,000 por semana y $2,500 por mes para el formato MSI, y $1,500 por semana y $4,000 por mes para el formato MSIX. Sekoia ha detectado que diferentes grupos de actividad difunden FakeBat mediante tres enfoques principales: suplantación de software popular a través de anuncios maliciosos de Google, actualizaciones falsas del navegador web y esquemas de ingeniería social en redes sociales.
Grupos de Amenazas y Distribución EspecíficaFakeBat es utilizado por grupos como FIN7, Nitrógeno y BATLOADER. Además de alojar cargas útiles, los servidores de comando y control de FakeBat filtran el tráfico en función de características específicas, permitiendo la distribución de malware a objetivos determinados.
Otras Campañas de MalwareAdemás de FakeBat, se han detectado otras campañas de malware, como DBatLoader y Hijack Loader, distribuidas a través de correos electrónicos de phishing y sitios de descarga de películas pirateadas. Estas campañas utilizan técnicas avanzadas de ofuscación y métodos innovadores para ocultar el código malicioso.
FakeBat representa una amenaza significativa en el panorama del malware actual, destacándose por su capacidad de evasión y la sofisticación de sus métodos de distribución. Mantenerse actualizado con las últimas medidas de seguridad es crucial para protegerse contra este y otros tipos de malware emergentes.
Fuente: https://thehackernews.com