Поддельные обновления браузера распространяют вредоносное ПО BitRAT и Lumma Stealer

Исследователи в области кибербезопасности из Threat Response Unit (TRU) компании eSentire обнаружили случаи поддельных обновлений браузера, доставляющих несколько инфекций вредоносным ПО, включая трояны удаленного доступа (RAT) и вредоносное ПО для кражи информации, BitRAT и Lumma Stealer (также известный как LummaC2).

Согласно недавнему отчету кибербезопасной компании eSentire, эти поддельные обновления браузера также ответственны за известное вредоносное ПО SocGholish, которое было выявлено в новых атаках.

В 2024 году было замечено, что FakeBat распространялся с использованием аналогичных механизмов поддельных обновлений.

Атака начинается, когда потенциальная жертва посещает скомпрометированный веб-сайт, содержащий внедренный вредоносный JavaScript-код, который перенаправляет пользователя на страницу поддельного обновления браузера, такую как “chatgpt-app[.]cloud”.

Далее сайт chatgpt-app[.]cloud содержит ссылку для загрузки ZIP-архива (“Update.zip”), который размещен в сети доставки контента (CDN) Discord и автоматически загружается на устройство жертвы.

“JavaScript-файл (Update.js), содержащийся в ZIP-архиве, действует как начальный загрузчик для получения полезной нагрузки после выполнения жертвой. Архив содержит несколько скриптов PowerShell, ответственных за загрузку и выполнение следующего загрузчика и полезной нагрузки с http://77[.]221[.]151[.]31,” говорится в отчете.

“IP-адрес, указанный в скрипте PowerShell, является известным адресом командного и контрольного центра (C2) BitRAT, который размещает как BitRAT, так и полезные нагрузки Lumma Stealer. Файлы имеют расширение .png, но содержат загрузчик, механизмы постоянства и полезные нагрузки.”

В отчете также добавлено: “Два файла, содержащие вредоносные полезные нагрузки a.png и s.png, включают обход AMSI, код, который использует рефлексию в .NET для динамической загрузки и выполнения полезной нагрузки в процессе RegSvcs.exe.”

eSentire отмечает, что загрузчик, вероятно, рекламируется как “сервис доставки вредоносного ПО”, поскольку он используется для развертывания как BitRAT, так и Lumma Stealer.

BitRAT — это универсальный инструмент удаленного доступа, который позволяет злоумышленникам широко контролировать зараженные системы. Он позволяет им собирать данные, красть конфиденциальную информацию, отслеживать активность пользователей, загружать дополнительные бинарные файлы и даже развертывать дополнительное вредоносное ПО.

С другой стороны, Lumma Stealer — это товарный кража информации, способный собирать ценную информацию, такую как криптовалютные кошельки, расширения браузера для двухфакторной аутентификации и другие конфиденциальные данные с машин жертв.

“Приманка поддельного обновления браузера стала распространенной среди злоумышленников как средство доступа к устройству или сети,” — заявила компания, добавив, что это “демонстрирует способность оператора использовать доверенные имена для максимизации охвата и воздействия.”

Хакеры часто используют Discord как вектор атаки для вредоносного ПО. Недавний анализ компании Bitdefender показал, что за последние шесть месяцев было распространено более 50,000 опасных ссылок для распространения вредоносного ПО, фишинговых кампаний и спама.

Тем временем отдельное исследование компании ReliaQuest показало, что новый вариант кампании ClearFake обманывает пользователей, заставляя их копировать, вставлять и вручную выполнять вредоносный код PowerShell под предлогом поддельного обновления браузера.

Это привело к установке вредоносного ПО LummaC2, которое было одним из ведущих краж информации в 2023 году, как отмечается в другом отчете ReliaQuest.

“Количество журналов, полученных LummaC2 и выставленных на продажу, увеличилось на 110% с Q3 по Q4 2023 года. Растущая популярность LummaC2 среди противников, вероятно, связана с его высокой эффективностью, которая относится к его способности успешно проникать в системы и экстрагировать конфиденциальные данные без обнаружения,” — отметила ReliaQuest.