Atualizações Falsas de Navegador Estão Espalhando Malware BitRAT e Lumma Stealer

Pesquisadores de cibersegurança da Unidade de Resposta a Ameaças (TRU) da eSentire detectaram casos de atualizações falsas de navegador entregando várias infecções por malware, incluindo trojans de acesso remoto (RATs) e malware que rouba informações, BitRAT e Lumma Stealer (também conhecido como LummaC2).

De acordo com um relatório recente da empresa de cibersegurança eSentire, essas atualizações falsas de navegador também são responsáveis pelo conhecido malware SocGholish, que foi identificado em novos ataques.

Em 2024, foi observado que o FakeBat foi distribuído usando mecanismos de atualização falsa semelhantes.

O ataque começa quando uma potencial vítima visita um site comprometido contendo código JavaScript malicioso injetado que direciona o usuário para a página de atualização falsa do navegador, como “chatgpt-app[.]cloud”.

Além disso, o site chatgpt-app[.]cloud contém um link para baixar um arquivo ZIP (“Update.zip”), que está hospedado na Rede de Distribuição de Conteúdo (CDN) do Discord e é baixado automaticamente para o dispositivo da vítima.

“O arquivo JavaScript (Update.js) contido no arquivo ZIP atua como um downloader inicial para recuperar os payloads uma vez executado pela vítima. O arquivo contém vários scripts PowerShell responsáveis por baixar e executar o carregador da próxima etapa e os payloads de http://77[.]221[.]151[.]31,” disse o relatório.

“O endereço IP identificado no script PowerShell é um conhecido endereço de Comando e Controle (C2) do BitRAT, que hospeda tanto os payloads do BitRAT quanto do Lumma Stealer. Os arquivos têm a extensão .png, mas contêm o carregador, mecanismos de persistência e os payloads.”

O relatório acrescentou ainda: “Os dois arquivos contendo os payloads maliciosos a.png e s.png incluem um bypass de AMSI, o código que aproveita a reflexão no .NET para carregar e executar dinamicamente o payload dentro do processo RegSvcs.exe.”

eSentire observa que o downloader é provavelmente anunciado como um “serviço de entrega de malware” porque é usado para implantar tanto o BitRAT quanto o Lumma Stealer.

BitRAT é uma ferramenta de acesso remoto versátil que permite que os atacantes tenham controle amplo sobre sistemas infectados. Isso permite que eles coletem dados, roubem informações sensíveis, monitorem a atividade do usuário, baixem binários adicionais e até implantem malware adicional.

Por outro lado, o Lumma Stealer é um ladrão de informações comercial capaz de coletar informações valiosas, como carteiras de criptomoedas, extensões de navegador de 2FA e outros dados sensíveis, das máquinas das vítimas.

“A isca da atualização falsa do navegador se tornou comum entre os atacantes como um meio de entrada em um dispositivo ou rede,” disse a empresa, acrescentando que “exibe a capacidade do operador de aproveitar nomes confiáveis para maximizar o alcance e o impacto.”

Os hackers frequentemente usam o Discord como um vetor de ataque para malware. Uma análise recente da Bitdefender revelou que mais de 50.000 links perigosos foram circulados nos últimos seis meses para distribuir malware, campanhas de phishing e spam.

Enquanto isso, um estudo separado da ReliaQuest revelou que uma nova variante da campanha ClearFake engana os usuários para copiar, colar e executar manualmente código PowerShell malicioso sob a aparência de uma atualização falsa do navegador.

Isso resultou na instalação do malware LummaC2, que foi um dos principais ladrões de informações em 2023, conforme observado por outro relatório da ReliaQuest.

“O número de logs obtidos pelo LummaC2 listados para venda aumentou em 110% do Q3 para o Q4 de 2023. A crescente popularidade do LummaC2 entre os adversários é provavelmente devido à sua alta taxa de sucesso, que se refere à sua eficácia em infiltrar sistemas e exfiltrar dados sensíveis sem detecção,” observou a ReliaQuest.