Las actualizaciones de navegador falsas están propagando malware BitRAT y Lumma Stealer

Los investigadores de ciberseguridad de la Unidad de Respuesta a Amenazas (TRU) de eSentire han detectado casos de actualizaciones de navegador falsas que entregan varias infecciones de malware, incluidos troyanos de acceso remoto (RAT) y malware que roba información, BitRAT y Lumma Stealer (también conocido como LummaC2).

Según un informe reciente de la empresa de ciberseguridad eSentire, estas actualizaciones de navegador falsas también son responsables del conocido malware SocGholish, que ha sido identificado en nuevos ataques.

En 2024, se observó que FakeBat se distribuía utilizando mecanismos de actualización falsa similares.

El ataque comienza cuando una posible víctima visita un sitio web comprometido que contiene código JavaScript malicioso inyectado que dirige al usuario a la página de actualización falsa del navegador, como “chatgpt-app[.]cloud”.

Además, el sitio chatgpt-app[.]cloud contiene un enlace para descargar un archivo ZIP (“Update.zip”), que está alojado en la Red de Distribución de Contenido (CDN) de Discord y se descarga automáticamente en el dispositivo de la víctima.

“El archivo JavaScript (Update.js) contenido en el archivo ZIP actúa como un descargador inicial para recuperar las cargas útiles una vez ejecutado por la víctima. El archivo contiene varios scripts de PowerShell responsables de descargar y ejecutar el cargador de la siguiente etapa y las cargas útiles desde http://77[.]221[.]151[.]31”, dijo el informe.

“La dirección IP identificada en el script de PowerShell es una dirección de Comando y Control (C2) de BitRAT conocida, que aloja tanto las cargas útiles de BitRAT como de Lumma Stealer. Los archivos tienen la extensión .png, pero contienen el cargador, mecanismos de persistencia y las cargas útiles.”

El informe agregó además: “Los dos archivos que contienen las cargas útiles maliciosas a.png y s.png incluyen un bypass de AMSI, el código que aprovecha la reflexión en .NET para cargar y ejecutar dinámicamente la carga útil dentro del proceso RegSvcs.exe.”

eSentire señala que el descargador probablemente se publicita como un “servicio de entrega de malware” porque se utiliza para desplegar tanto BitRAT como Lumma Stealer.

BitRAT es una herramienta de acceso remoto versátil que permite a los atacantes tener un control general sobre los sistemas infectados. Les permite recopilar datos, robar información sensible, monitorear la actividad del usuario, descargar binarios adicionales e incluso desplegar malware adicional.

Por otro lado, Lumma Stealer es un ladrón de información de consumo capaz de recopilar información valiosa, como billeteras de criptomonedas, extensiones de navegador de 2FA y otros datos sensibles, de las máquinas de las víctimas.

“La trampa de actualización falsa del navegador se ha vuelto común entre los atacantes como un medio de entrada a un dispositivo o red”, dijo la empresa, añadiendo que “muestra la capacidad del operador para aprovechar nombres de confianza para maximizar el alcance y el impacto.”

Los hackers a menudo utilizan Discord como un vector de ataque para el malware. Un análisis reciente de Bitdefender reveló que más de 50,000 enlaces peligrosos se circularon en los últimos seis meses para distribuir malware, campañas de phishing y spam.

Mientras tanto, un estudio separado de ReliaQuest reveló que una nueva variante de la campaña ClearFake engaña a los usuarios para que copien, peguen y ejecuten manualmente código malicioso de PowerShell bajo la apariencia de una actualización falsa del navegador.

Esto resultó en la instalación del malware LummaC2, que fue uno de los principales ladrones de información en 2023, como se señaló en otro informe de ReliaQuest.

“El número de registros obtenidos de LummaC2 listados para la venta aumentó en un 110% de Q3 a Q4 de 2023. La creciente popularidad de LummaC2 entre los adversarios se debe probablemente a su alta tasa de éxito, que se refiere a su efectividad para infiltrarse con éxito en sistemas y exfiltrar datos sensibles sin ser detectado”, señaló ReliaQuest.