Cyberkriminelle nutzen beliebte Software-Suchen aus, um die FakeBat-Malware zu verbreiten

Cyberkriminelle nutzen beliebte Software-Suchen aus, um die FakeBat-Malware zu verbreiten

Die Bedrohung durch Cyberkriminalität nimmt weiter zu, und jüngste Untersuchungen von Cybersicherheitsforschern haben einen Anstieg von Malware-Infektionen aufgedeckt, die aus Malvertising-Kampagnen stammen und einen sogenannten Loader namens FakeBat verbreiten.

Laut einem technischen Bericht des Mandiant Managed Defense Teams sind diese Angriffe opportunistischer Natur und zielen auf Benutzer ab, die beliebte Business-Software suchen. Die Infektion nutzt einen trojanisierten MSIX-Installer, der ein PowerShell-Skript ausführt, um eine sekundäre Nutzlast herunterzuladen.

FakeBat, auch bekannt als EugenLoader und PaykLoader, ist mit einer Bedrohungsakteurgruppe namens Eugenfest verbunden. Das von Google betriebene Threat-Intelligence-Team verfolgt die Malware unter dem Namen NUMOZYLOD und hat den Malware-as-a-Service (MaaS)-Betrieb UNC4536 zugeordnet.

Die Angriffsketten, die die Malware verbreiten, nutzen Drive-by-Download-Techniken, um Benutzer, die nach beliebter Software suchen, zu gefälschten Websites zu leiten, die präparierte MSI-Installer hosten. Einige der über FakeBat verbreiteten Malware-Familien sind IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (auch bekannt als ArechClient2) und Carbanak, eine Malware, die mit der FIN7-Cybercrime-Gruppe in Verbindung gebracht wird.

“Die Vorgehensweise von UNC4536 besteht darin, Malvertising zu nutzen, um trojanisierte MSIX-Installer, die als beliebte Software wie Brave, KeePass, Notion, Steam und Zoom getarnt sind, zu verbreiten”, erklärte Mandiant. “Diese trojanisierten MSIX-Installer werden auf Websites gehostet, die legitime Software-Hosting-Sites imitieren, um Benutzer zum Herunterladen zu verleiten.”

Die Besonderheit des Angriffs liegt in der Verwendung von MSIX-Installationsprogrammen, die als Brave, KeePass, Notion, Steam und Zoom getarnt sind und die Fähigkeit haben, ein Skript vor dem Start der Hauptanwendung über eine Konfiguration namens startScript auszuführen.

UNC4536 ist im Wesentlichen ein Malware-Verteiler, was bedeutet, dass FakeBat als Lieferfahrzeug für nachgelagerte Nutzlasten für ihre Geschäftspartner fungiert, einschließlich FIN7.

“NUMOZYLOD sammelt Systeminformationen, einschließlich Details zum Betriebssystem, Domainbeitritt und installierten Antivirenprodukten”, so Mandiant. “In einigen Varianten sammelt es die öffentliche IPv4- und IPv6-Adresse des Hosts und sendet diese Informationen an seinen C2, [und] erstellt eine Verknüpfung (.lnk) im StartUp-Ordner als seine Persistenz.”

Die Offenlegung erfolgt etwas mehr als einen Monat, nachdem Mandiant auch den Angriffslebenszyklus im Zusammenhang mit einem anderen Malware-Downloader namens EMPTYSPACE (auch bekannt als BrokerLoader oder Vetta Loader) detailliert beschrieben hat, der von einer finanziell motivierten Bedrohungsgruppe namens UNC4990 verwendet wurde, um Datenexfiltrations- und Cryptojacking-Aktivitäten zu erleichtern, die auf italienische Einrichtungen abzielen.

Quelle: https://ift.tt/J7ILy0w

Trending Posts

Über uns

MyCubeServer – Ihr vertrauenswürdiger Partner für fortschrittliche Cloud-Lösungen. Wir bieten maßgeschneiderte IT-Services und Datenschutz, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.”

“Bei MyCubeServer steht Innovation im Mittelpunkt. Unsere Expertise in Cloud-Technologie und Cybersicherheit macht uns zum perfekten Begleiter für Ihre digitale Transformation.”

“MyCubeServer – Wir gestalten die Zukunft Ihrer IT-Landschaft. Verlassen Sie sich auf unsere Erfahrung und modernste Lösungen für Ihre Unternehmensanforderungen.

Folge uns

-Weg von alten Schubladen-

Deine Chance -

Angesagtes

Newsletter

Kategorien

Edit Template

Produkte & Lösungen

SkySphere Cloud
SkySphere Connect
CubeSecurity
Support & Services

© 2023 MyCubeServer. Alle Rechte vorbehalten.
Datenschutzrichtlinien | AGB´sNutzungsbedingungen | Impressum