Os responsáveis por ameaças foram observados usando sites falsos como soluções legítimas de antivírus da Avast, Bitdefender e Malwarebytes para propagar malware capaz de roubar informações sensíveis de dispositivos Android e Windows.
“Hostear software malicioso através de sites que parecem legítimos é predatório para os consumidores em geral, especialmente para aqueles que procuram proteger seus dispositivos de ataques cibernéticos”, disse o pesquisador de segurança da Trellix, Gurumoorthi Ramanathan.
A lista de sites é a seguinte:
– avast-securedownload[.]com, que é usado para distribuir o trojan SpyNote na forma de um arquivo de pacote Android (“Avast.apk”) que, uma vez instalado, solicita permissões intrusivas para ler mensagens SMS e logs de chamadas, instalar e excluir aplicativos, tirar capturas de tela, rastrear localização e até minerar criptomoeda
– bitdefender-app[.]com, que é usado para distribuir um arquivo ZIP (“setup-win-x86-x64.exe.zip”) que implanta o malware de roubo de informações Lumma
– malwarebytes[.]pro, que é usado para distribuir um arquivo RAR (“MBSetup.rar”) que implanta o malware StealC de roubo de informações
A empresa de cibersegurança também descobriu um binário Trellix chamado “AMCoreDat.exe” que serve como um condutor para soltar um malware de roubo capaz de colher informações da vítima, incluindo dados do navegador, e exfiltrá-los para um servidor remoto.
Ainda não está claro como esses sites falsos são distribuídos, mas campanhas semelhantes no passado empregaram técnicas como malvertising e envenenamento de SEO.
Malwares de roubo tornaram-se cada vez mais uma ameaça comum, com cibercriminosos anunciando inúmeras variantes personalizadas com diferentes níveis de complexidade. Isso inclui novos roubadores como Acrid, SamsStealer, ScarletStealer e Waltuhium Grabber, assim como atualizações de existentes como SYS01stealer (também conhecido como Album Stealer ou S1deload Stealer).
“O fato de novos roubadores aparecerem de tempos em tempos, combinado com o fato de que sua funcionalidade e sofisticação variam muito, indica que há uma demanda criminosa no mercado por roubadores”, disse a Kaspersky em um relatório recente.
No início desta semana, a empresa de cibersegurança russa também detalhou uma campanha de malware Gipy que capitaliza sobre a popularidade de ferramentas de inteligência artificial, anunciando um gerador de voz falso de IA através de sites de phishing.
Uma vez instalado, o Gipy carrega malware de terceiros hospedado no GitHub, que varia de roubadores de informações (Lumma, RedLine, RisePro e LOLI Stealer) e mineradores de criptomoedas (Apocalypse ClipBanker) a cavalos de Troia de acesso remoto (DCRat e RADXRat) e backdoors (TrueClient).
Isso ocorre enquanto pesquisadores descobriram um novo trojan bancário Android chamado Antidot que se disfarça de uma atualização do Google Play para facilitar o roubo de informações, abusando das APIs de acessibilidade e MediaProjection do Android.
“Em termos de funcionalidade, o Antidot é capaz de keylogging, ataques de overlay, exfiltração de SMS, capturas de tela, roubo de credenciais, controle do dispositivo e execução de comandos recebidos dos atacantes”, afirmou a Symantec, da Broadcom, em um boletim.