(https://i.postimg.cc/bwjStKbZ/Red-Line-malware.png) (https://postimages.org/)
A mediados de abril de 2024, los investigadores del equipo del Centro de Investigación Avanzada Trellix detectaron varios sitios antivirus falsos utilizados para distribuir ladrones de información (infostealer). Los sitios web maliciosos alojaban archivos maliciosos sofisticados como APK, EXE e instalador de configuración Inno, incluidas capacidades de Spy y Stealer.
Los sitios web falsos se hacían pasar por productos antivirus legítimos de Avast, Bitdefender y Malwarebytes.
Los sitios que alojan malware son avast-securedownload.com (Avast.apk), bitdefender-app.com (setup-win-x86-x64.exe.zip), malwarebytes.pro (MBSetup.rar).
A continuación, se muestra la lista de sitios web maliciosos analizados por los investigadores:
avast-securedownload[.]com: distribuye el troyano SpyNote como un archivo de paquete de Android ("Avast.apk") que, una vez instalado, solicita permisos intrusivos como leer mensajes SMS y registros de llamadas, instalar y eliminar aplicaciones, tomar capturas de pantalla, seguimiento de ubicación y extracción de criptomonedas.
bitdefender-app[.]com: Distribuye un archivo ZIP ("setup-win-x86-x64.exe.zip") que se utilizó para implementar el ladrón de información Lumma.
malwarebytes[.]pro: distribuye un archivo RAR ("MBSetup.rar") que se utilizó para implementar el malware ladrón de información StealC.
Los expertos también descubrieron un binario Trellix malicioso que pretende ser legítimo (AMCoreDat.exe).
Los investigadores no atribuyeron los ataques a un actor de amenazas específico. El informe también incluye indicadores de compromiso (IoC) para los ataques que emplean sitios web antivirus falsos.
Fuente:
SecurityAffairs
https://securityaffairs.com/163673/cyber-crime/fake-av-websites-distribute-malware.html