Actualizaciones de Navegador Falsas Distribuyen Malware
Las actualizaciones falsas de navegador están siendo utilizadas para distribuir troyanos de acceso remoto (RATs) y malware de robador de información como BitRAT y Lumma Stealer (también conocido como LummaC2).
«Las actualizaciones de navegador falsas han sido responsables de numerosas infecciones de malware, incluyendo el conocido malware SocGholish,» dijo la empresa de ciberseguridad eSentire en un nuevo informe.
En abril de 2024, observamos la distribución de FakeBat mediante mecanismos de actualización falsos similares. La cadena de ataque comienza cuando los objetivos potenciales visitan un sitio web trampa que contiene código JavaScript diseñado para redirigir a los usuarios a una página de actualización de navegador falsa (chatgpt-app[.]cloud).
La página a la que se redirige contiene un enlace de descarga a un archivo ZIP (Update.zip) alojado en Discord. Este archivo se descarga automáticamente en el dispositivo de la víctima.
Dentro del Archivo ZIP
Dentro del archivo ZIP se encuentra otro archivo JavaScript (Update.js), que desencadena la ejecución de scripts PowerShell responsables de recuperar más cargas útiles. Estas incluyen BitRAT y Lumma Stealer, en forma de archivos PNG desde un servidor remoto.
Los scripts PowerShell también se utilizan para establecer persistencia y cargar un cargador basado en .NET que se usa principalmente para lanzar el malware en su etapa final.
BitRAT y Lumma Stealer
BitRAT es un RAT rico en características que permite a los atacantes recolectar datos, minar criptomonedas, descargar más archivos binarios y tomar el control remoto de los hosts infectados.
Lumma Stealer, un malware de robo disponible por $250 a $1,000 por mes desde agosto de 2022, ofrece la capacidad de capturar información de navegadores web, carteras de criptomonedas y otros datos sensibles.
«Las actualizaciones de navegador falsas continúan siendo una táctica engañosa para distribuir malware,» concluye el informe de eSentire.
Alertan sobre nueva variante de la campaña ClearFake
ReliaQuest ha identificado una nueva variante de la campaña ClearFake, una táctica común entre atacantes para acceder a dispositivos o redes.
La técnica, que aprovecha nombres confiables para maximizar su alcance e impacto, engaña a los usuarios bajo el pretexto de una actualización de navegador.
Metodología del ataque
El sitio web malicioso proclama que «algo salió mal al mostrar esta página» y dirige al visitante a instalar un certificado raíz. Esto implica copiar código PowerShell ofuscado y ejecutarlo manualmente en la terminal.
Características del código malicioso
Al ejecutarse, el código PowerShell realiza múltiples funciones: limpia el caché DNS, muestra un mensaje emergente, descarga más código PowerShell e instala el malware LummaC2.
Auge del LummaC2
La firma ReliaQuest informó que Lumma Stealer se ha convertido en uno de los roba-información más prevalentes de 2023, junto a RedLine y Raccoon. Los registros obtenidos con LummaC2 para la venta aumentaron un 110% de Q3 a Q4 de 2023, un indicativo de su alta tasa de éxito al infiltrar sistemas y exfiltrar datos sensibles sin ser detectado.
Detalles de campaña AhnLab con webhards
El AhnLab Security Intelligence Center (ASEC) ha comunicado una campaña que usa webhards para distribuir instaladores maliciosos de juegos para adultos y versiones crackeadas de Microsoft Office.
Distribución de malware
Estas cadenas de ataque llevan al despliegue de malware como Orcus RAT, XMRig, 3proxy y XWorm. Similarmente, sitios que ofrecen software pirata han estado asociados con loaders de malware como PrivateLoader y TaskLoader.