Gefälschte Browser-Updates verbreiten BitRAT und Lumma Stealer Malware

Cybersecurity-Forscher der Threat Response Unit (TRU) von eSentire haben Fälle von gefälschten Browser-Updates entdeckt, die mehrere Malware-Infektionen, einschließlich Remote Access Trojans (RATs) und informationsstehlender Malware, BitRAT und Lumma Stealer (auch bekannt als LummaC2), verbreiten.

Laut einem aktuellen Bericht des Cybersecurity-Unternehmens eSentire sind diese gefälschten Browser-Updates auch verantwortlich für die bekannte SocGholish-Malware, die in neuen Angriffen identifiziert wurde.

Im Jahr 2024 wurde beobachtet, dass FakeBat mit ähnlichen gefälschten Update-Mechanismen verteilt wurde.

Der Angriff beginnt, wenn ein potenzielles Opfer eine kompromittierte Website besucht, die injizierten bösartigen JavaScript-Code enthält, der den Benutzer zur gefälschten Browser-Update-Seite leitet, wie „chatgpt-app[.]cloud“.

Darüber hinaus enthält die chatgpt-app[.]cloud-Seite einen Link zum Herunterladen eines ZIP-Archivs („Update.zip“), das im Content Distribution Network (CDN) von Discord gehostet wird und automatisch auf das Gerät des Opfers heruntergeladen wird.

„Die JavaScript-Datei (Update.js), die im ZIP-Archiv enthalten ist, fungiert als initialer Downloader, um die Payloads abzurufen, sobald sie vom Opfer ausgeführt wird. Das Archiv enthält mehrere PowerShell-Skripte, die für das Herunterladen und Ausführen des nächsten Ladeprogramms und der Payloads von http://77[.]221[.]151[.]31 verantwortlich sind“, heißt es in dem Bericht.

„Die im PowerShell-Skript identifizierte IP-Adresse ist eine bekannte BitRAT Command-and-Control (C2)-Adresse, die sowohl die BitRAT- als auch die Lumma Stealer-Payloads hostet. Die Dateien haben die Erweiterung .png, enthalten jedoch den Loader, Persistenzmechanismen und die Payloads.“

Der Bericht fügte weiter hinzu: „Die beiden Dateien, die die bösartigen Payloads a.png und s.png enthalten, beinhalten einen AMSI-Bypass, den Code, der Reflection in .NET nutzt, um die Payload dynamisch innerhalb des RegSvcs.exe-Prozesses zu laden und auszuführen.“

eSentire weist darauf hin, dass der Downloader wahrscheinlich als „Malware-Lieferdienst“ beworben wird, da er sowohl BitRAT als auch Lumma Stealer bereitstellt.

BitRAT ist ein vielseitiges Remote-Access-Tool, das Angreifern umfassende Kontrolle über infizierte Systeme ermöglicht. Es ermöglicht ihnen, Daten zu ernten, sensible Daten zu stehlen, die Benutzeraktivität zu überwachen, zusätzliche Binärdateien herunterzuladen und sogar zusätzliche Malware bereitzustellen.

Auf der anderen Seite ist Lumma Stealer ein handelsüblicher Informationsdiebstahl, der in der Lage ist, wertvolle Informationen wie Kryptowährungs-Wallets, 2FA-Browsererweiterungen und andere sensible Daten von den Maschinen der Opfer zu ernten.

„Der Köder des gefälschten Browser-Updates ist unter Angreifern zu einem gängigen Mittel geworden, um Zugang zu einem Gerät oder Netzwerk zu erhalten“, sagte das Unternehmen und fügte hinzu, dass es „die Fähigkeit des Betreibers zeigt, vertrauenswürdige Namen zu nutzen, um Reichweite und Einfluss zu maximieren.“

Hacker nutzen häufig Discord als Angriffsvektor für Malware. Eine aktuelle Analyse von Bitdefender ergab, dass in den letzten sechs Monaten mehr als 50.000 gefährliche Links verbreitet wurden, um Malware, Phishing-Kampagnen und Spam zu verteilen.

In der Zwischenzeit ergab eine separate Studie von ReliaQuest, dass eine neue Variante der ClearFake-Kampagne Benutzer dazu verleitet, bösartigen PowerShell-Code zu kopieren, einzufügen und manuell auszuführen, unter dem Vorwand eines gefälschten Browser-Updates.

Dies führte zur Installation von LummaC2-Malware, die laut einem weiteren ReliaQuest-Bericht einer der führenden Infostealer im Jahr 2023 war.

„Die Anzahl der von LummaC2 erhaltenen Protokolle, die zum Verkauf angeboten werden, stieg von Q3 auf Q4 2023 um 110 %. Die steigende Beliebtheit von LummaC2 unter den Gegnern ist wahrscheinlich auf seine hohe Erfolgsquote zurückzuführen, die sich auf seine Effektivität bezieht, Systeme erfolgreich zu infiltrieren und sensible Daten unentdeckt zu exfiltrieren“, bemerkte ReliaQuest.