FakeBat Loader Malware széles körben terjed Drive-by Download támadásokon keresztül

A FakeBat, más néven EugenLoader és PaykLoader nevű loader-as-a-service (LaaS) malware-család idén az egyik legszélesebb körben elterjedt, gyakran drive-by letöltési módszerekkel terjesztett malware-családdá vált. A FakeBat elsősorban a második lépcsőfokú hasznos terhelések, köztük különböző rosszindulatú programok letöltésére és végrehajtására szolgál. Olyan technikákat használ, mint a keresőmotor-optimalizálás (SEO) mérgezése, a rosszindulatú reklámozás és a hamis kód befecskendezése a veszélyeztetett webhelyekre, hogy a felhasználókat hamis szoftvertelepítők vagy böngészőfrissítések letöltésére ösztönözze. A FakeBat-et egy Eugenfest (vagy Payk_34) nevű, oroszul beszélő fenyegetőszereplő értékesíti underground fórumokon egy LaaS előfizetési modellen keresztül, az árazási lehetőségek 1000 és 5000 dollár között mozognak, formátumonként és csomagonként változóan.

A Sekoia kiberbiztonsági vállalat megjegyezte, hogy a FakeBat terjesztése három fő megközelítésen keresztül történik: a rosszindulatú Google-hirdetéseken keresztül népszerű szoftvereknek álcázott rosszindulatú szoftverek, a veszélyeztetett webhelyeken a webböngésző hamis frissítései és a közösségi hálózatokon folytatott megtévesztő taktikák révén. Továbbá úgy tűnik, hogy a FakeBat parancs- és vezérlő szerverei olyan tényezők alapján szűrhetik a forgalmat, mint a böngésző felhasználói ügynöke (user agent), az IP-cím és a hely, ami lehetővé teszi a célzott rosszindulatú szoftverek terjesztését. Más LaaS-sémákat is észleltek, például a DBatLoader-t, amelyet számlával kapcsolatos témájú adathalász e-maileken keresztül terjesztenek, és a Hijack Loader-t, amelyet kalózfilmek letöltőoldalain található linkeken keresztül terjesztenek. A Remcos RAT-ot terjesztő adathalászkampányokat is megfigyeltek, amelyek során különböző rosszindulatú szoftvereket terjesztenek ilyen technikákkal.

(forrás)