Cibercriminosos estão utilizando pesquisas por softwares populares para disseminar o malware FakeBat, conforme descoberto por especialistas em segurança cibernética. Segundo a equipe da Mandiant Managed Defense, estes ataques oportunísticos direcionam usuários em busca de softwares conhecidos, empregando um instalador MSIX trojanizado que executa um script PowerShell para baixar malwares adicionais.
O FakeBat, também conhecido como EugenLoader e PaykLoader, está associado ao agente de ameaças Eugenfest e é monitorado pelo Google sob o nome NUMOZYLOD, sendo parte de uma operação de Malware-as-a-Service (MaaS) atribuída ao grupo UNC4536.
O método de infecção inclui instalações MSI fraudulentas de aplicativos famosos, como Brave, KeePass, Notion, Steam e Zoom, em sites que imitam plataformas legítimas de downloads. Isso induz os usuários a baixarem instaladores MSIX que, antes de iniciar o aplicativo principal, executam um script através de uma funcionalidade chamada startScript.
O grupo UNC4536 serve como um distribuidor de malware, utilizando o FakeBat para oferecer malware de terceiros, incluindo os da organização criminosa FIN7. Além disso, o NUMOZYLOD coleta informações do sistema, detalhes dos sistemas operacionais, domínios associados e antivírus instalados, enviando esses dados para um servidor de controle e comando (C2). Algumas variantes do malware também coletam endereços IP e criam atalhos na pasta de inicialização do sistema para manter a persistência.
Recentemente, a Mandiant revelou informações sobre o EMPTYSPACE, um outro malware downloader utilizado pelo cluster de ameaças financeiras denominado UNC4990, envolvido em atividades de roubo de dados e cryptojacking contra alvos na Itália.
Para acompanhar mais conteúdo exclusivo, siga-nos no Twitter e no LinkedIn, e continue visitando o TecMania para se manter atualizado.