Cybercriminelen misbruiken populaire softwarezoekopdrachten om FakeBat-malware te verspreiden

Cybersecurityonderzoekers hebben een toename in malware-infecties ontdekt die voortkomt uit malvertisingcampagnes die een loader met de naam FakeBat verspreiden.

“Deze aanvallen zijn opportunistisch van aard en richten zich op gebruikers die op zoek zijn naar populaire zakelijke software,” aldus het Mandiant Managed Defense-team in een technisch rapport. “De infectie maakt gebruik van een trojanized MSIX-installatieprogramma, dat een PowerShell-script uitvoert om een ​​secundaire payload te downloaden.”

FakeBat, ook wel EugenLoader en PaykLoader genoemd, is gelinkt aan een dreigingsactor genaamd Eugenfest. Het door Google beheerde threat intelligence team volgt de malware onder de naam NUMOZYLOD en heeft de Malware-as-a-Service (MaaS) operatie toegeschreven aan UNC4536.

Aanvalsketens die de malware verspreiden, maken gebruik van drive-by downloadtechnieken om gebruikers die op zoek zijn naar populaire software naar valse lookalike-sites te duwen die boobytrapped MSI-installatieprogramma’s hosten. Enkele van de malwarefamilies die via FakeBat worden geleverd, zijn IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (ook bekend als ArechClient2) en Carbanak, een malware die verband houdt met de FIN7-cybercrimegroep.

“De modus operandi van UNC4536 omvat het benutten van malvertising om getrojaniseerde MSIX-installatieprogramma’s te verspreiden die vermomd zijn als populaire software zoals Brave, KeePass, Notion, Steam en Zoom,” aldus Mandiant. “Deze getrojaniseerde MSIX-installatieprogramma’s worden gehost op websites die zijn ontworpen om legitieme softwarehostingsites na te bootsen, en gebruikers ertoe te verleiden ze te downloaden.”

FakeBat-malware

Wat de aanval zo opvallend maakt, is het gebruik van MSIX-installatieprogramma’s die zich voordoen als Brave, KeePass, Notion, Steam en Zoom. Deze kunnen een script uitvoeren voordat de hoofdapplicatie wordt gestart, via een configuratie genaamd startScript.

UNC4536 is in feite een malwaredistributeur, wat betekent dat FakeBat fungeert als een bezorgvoertuig voor de volgende fase van de payloads voor hun zakenpartners, waaronder FIN7.

“NUMOZYLOD verzamelt systeeminformatie, waaronder details over het besturingssysteem, domeintoetreding en geïnstalleerde antivirusproducten,” aldus Mandiant. “In sommige varianten verzamelt het het openbare IPv4- en IPv6-adres van de host en stuurt deze informatie naar zijn C2, (en) maakt een snelkoppeling (.lnk) in de StartUp-map als persistentie.”

De onthulling komt iets meer dan een maand nadat Mandiant ook de aanvalscyclus van een andere malware-downloader met de naam EMPTYSPACE (ook bekend als BrokerLoader of Vetta Loader) beschreef. Deze werd gebruikt door een financieel gemotiveerde dreigingscluster met de naam UNC4990 om gegevensonderschepping en cryptojackingactiviteiten te faciliteren die gericht waren op Italiaanse entiteiten.

Thijs Van der Does