Valse browserupdates leveren BitRAT- en Lumma Stealer-malware

Valse webbrowser-updates worden gebruikt om trojans voor externe toegang (RAT's) en malware voor het stelen van informatie, zoals BitRAT en Lumma Stealer (ook bekend als LummaC2), te leveren.

“Valse browserupdates zijn verantwoordelijk voor talloze malware-infecties, waaronder die van de bekende SocGholish-malware”, zegt cyberbeveiligingsbedrijf eSentire in een nieuw rapport. “In april 2024 zagen we dat FakeBat werd verspreid via soortgelijke nep-updatemechanismen.”

De aanvalsketen begint wanneer potentiële doelwitten een website met boobytraps bezoeken die JavaScript-code bevat die is ontworpen om gebruikers om te leiden naar een nep-browserupdatepagina (“chatgpt-app(.)cloud”).

De omgeleide webpagina wordt geleverd met een downloadlink naar een ZIP-archiefbestand (“Update.zip”) dat wordt gehost op Discord en automatisch wordt gedownload naar het apparaat van het slachtoffer.

Het is de moeite waard erop te wijzen dat bedreigingsactoren Discord vaak als aanvalsvector gebruiken, waarbij een recente analyse van Bitdefender de afgelopen zes maanden meer dan 50.000 gevaarlijke links heeft blootgelegd die malware, phishing-campagnes en spam verspreiden.

In het ZIP-archiefbestand bevindt zich nog een JavaScript-bestand (“Update.js”), dat de uitvoering van PowerShell-scripts activeert die verantwoordelijk zijn voor het ophalen van extra payloads, waaronder BitRAT en Lumma Stealer, van een externe server in de vorm van PNG-afbeeldingsbestanden.

Op deze manier worden ook PowerShell-scripts opgehaald om persistentie tot stand te brengen en een op .NET gebaseerde lader die voornamelijk wordt gebruikt voor het starten van de laatste fase van malware. eSentire stelde dat de lader waarschijnlijk wordt geadverteerd als een “malware-bezorgservice” vanwege het feit dat dezelfde lader wordt gebruikt om zowel BitRAT als Lumma Stealer te implementeren.

BitRAT is een RAT boordevol functies waarmee aanvallers gegevens kunnen verzamelen, cryptocurrency kunnen minen, meer binaire bestanden kunnen downloaden en op afstand de geïnfecteerde hosts kunnen overnemen. Lumma Stealer, een commodity stealer-malware die sinds augustus 2022 beschikbaar is voor $250 tot $1.000 per maand, biedt de mogelijkheid om informatie uit webbrowsers, crypto-wallets en andere gevoelige details vast te leggen.

“De nep-browserupdate is onder aanvallers gemeengoed geworden als middel om toegang te krijgen tot een apparaat of netwerk”, aldus het bedrijf. Het toont aan dat de operator in staat is om vertrouwde namen te gebruiken om het bereik en de impact te maximaliseren.”

Hoewel dergelijke aanvallen doorgaans gebruik maken van drive-by downloads en malvertisingtechnieken, zei ReliaQuest in een vorige week gepubliceerd rapport dat het een nieuwe variant van de ClearFake-campagne heeft ontdekt die gebruikers ertoe verleidt kwaadaardige PowerShell-code te kopiëren, plakken en handmatig uit te voeren onder het voorwendsel van een browserupdate.

Concreet beweert de kwaadaardige website dat “er iets mis is gegaan tijdens het weergeven van deze webpagina” en instrueert de bezoeker van de site een rootcertificaat te installeren om het probleem op te lossen door een reeks stappen te volgen, waarbij versluierde PowerShell-code wordt gekopieerd en uitgevoerd in een PowerShell-terminal. .

“Bij uitvoering voert de PowerShell-code meerdere functies uit, waaronder het wissen van de DNS-cache, het weergeven van een berichtenvenster, het downloaden van verdere PowerShell-code en het installeren van 'LummaC2'-malware”, aldus het bedrijf.

Volgens informatie gedeeld door het cyberbeveiligingsbedrijf kwam Lumma Stealer in 2023 naar voren als een van de meest voorkomende informatiestelers, naast RedLine en Raccoon.

“Het aantal door LummaC2 verkregen houtblokken dat te koop wordt aangeboden, is tussen het derde en het vierde kwartaal van 2023 met 110% gestegen”, aldus het rapport. “De toenemende populariteit van LummaC2 onder tegenstanders is waarschijnlijk te danken aan het hoge succespercentage, dat verwijst naar de effectiviteit ervan bij het succesvol infiltreren van systemen en het exfiltreren van gevoelige gegevens zonder detectie.”

De ontwikkeling komt op het moment dat het AhnLab Security Intelligence Center (ASEC) details bekendmaakte van een nieuwe campagne waarbij webhards (afkorting van webharde schijf) worden gebruikt als kanaal om kwaadaardige installatieprogramma's voor games voor volwassenen en gekraakte versies van Microsoft Office te verspreiden en uiteindelijk een verscheidenheid aan malware zoals Orcus RAT, XMRig miner, 3proxy en XWorm.

Soortgelijke aanvalsketens waarbij websites betrokken zijn die illegale software aanbieden, hebben geleid tot de inzet van malware-laders zoals PrivateLoader en TaskLoader, die beide worden aangeboden als een pay-per-install (PPI)-service voor andere cybercriminelen om hun eigen payloads te leveren.

Het volgt ook op nieuwe bevindingen van Silent Push over CryptoChameleon's “bijna exclusieve gebruik” van DNSPod(.)com-naamservers ter ondersteuning van de phishing-kitarchitectuur. DNSPod, onderdeel van het Chinese bedrijf Tencent, heeft een geschiedenis in het leveren van diensten aan kwaadwillende, kogelvrije hostingoperators.

“CryptoChameleon gebruikt DNSPod-naamservers om snelle flux-ontwijkingstechnieken uit te voeren waarmee bedreigingsactoren snel door grote hoeveelheden IP's kunnen bladeren die aan één domeinnaam zijn gekoppeld”, aldus het bedrijf.

“Door de snelle flux kan de CryptoChameleon-infrastructuur traditionele tegenmaatregelen omzeilen, en wordt de operationele waarde van oudere point-in-time IOC's aanzienlijk verminderd.” met behulp van ten minste zeven primaire sociale media-accounts en een CIB-netwerk van meer dan 250 accounts.

Thijs Van der Does