Os cibercriminosos têm utilizado sites falsos que se fazem passar por soluções legítimas de antivírus da Avast, Bitdefender e Malwarebytes para propagar malware capaz de roubar informações sensíveis de dispositivos Android e Windows.
“Oferecer software malicioso por meio de sites que parecem legítimos é predatório para os consumidores em geral, especialmente para aqueles que procuram proteger seus dispositivos contra ataques cibernéticos”, disse o pesquisador de segurança da Trellix, Gurumoorthi Ramanathan.
A lista de sites é a seguinte:
– avast-securedownload[.]com, que é utilizado para distribuir o trojan SpyNote na forma de um arquivo de pacote Android (“Avast.apk”) que, uma vez instalado, solicita permissões intrusivas para ler mensagens SMS e registros de chamadas, instalar e excluir aplicativos, tirar capturas de tela, rastrear localização e até mesmo minerar criptomoedas.
– bitdefender-app[.]com, que é utilizado para distribuir um arquivo ZIP (“setup-win-x86-x64.exe.zip”) que implementa o malware de roubo de informações Lumma.
– malwarebytes[.]pro, que é utilizado para distribuir um arquivo RAR (“MBSetup.rar”) que implementa o malware de roubo de informações StealC.
A empresa de cibersegurança também descobriu um binário Trellix falso chamado “AMCoreDat.exe” que serve como um conduto para soltar um malware de roubo capaz de coletar informações da vítima, incluindo dados do navegador, e enviá-los para um servidor remoto.
Atualmente não está claro como esses sites falsos são distribuídos, mas campanhas semelhantes do passado empregaram técnicas como malvertising e envenenamento de SEO.
Os malwares de roubo têm se tornado cada vez mais comuns, com cibercriminosos anunciando inúmeros variantes personalizados com diferentes níveis de complexidade. Isso inclui novos malwares como Acrid, SamsStealer, ScarletStealer e Waltuhium Grabber, bem como atualizações para existentes como SYS01stealer (também conhecido como Album Stealer ou S1deload Stealer).
“A evidência de que novos malwares de roubo aparecem de tempos em tempos, combinada com a variação de funcionalidade e sofisticação, indica que há uma demanda criminosa no mercado por malwares de roubo”, disse a Kaspersky em um relatório recente.
Esta semana, a empresa de cibersegurança russa também detalhou uma campanha de malware Gipy que se aproveita da popularidade das ferramentas de inteligência artificial anunciando um gerador de voz AI falso por meio de sites de phishing.
Uma vez instalado, o Gipy carrega malwares de terceiros hospedados no GitHub, que vão de ladrões de informações (Lumma, RedLine, RisePro e LOLI Stealer) e mineradores de criptomoedas (Apocalypse ClipBanker) a cavalos de Troia de acesso remoto (DCRat e RADXRat) e backdoors (TrueClient).
Isso ocorre à medida que os pesquisadores descobriram um novo trojan bancário Android chamado Antidot que se disfarça de uma atualização do Google Play para facilitar o roubo de informações, abusando das APIs de acessibilidade e MediaProjection do Android.
“Em termos de funcionalidade, o Antidot é capaz de keylogging, ataques de sobreposição, exfiltração de SMS, capturas de tela, roubo de credenciais, controle de dispositivo e execução de comandos recebidos dos atacantes”, disse a Symantec, subsidiária da Broadcom, em um boletim.