Os atores de ameaça foram observados utilizando sites falsos que se passavam por soluções legítimas de antivírus da Avast, Bitdefender e Malwarebytes para propagar malware capaz de roubar informações sensíveis de dispositivos Android e Windows.
“Hospedar software malicioso em sites que parecem legítimos é predatório para os consumidores em geral, especialmente aqueles que buscam proteger seus dispositivos de ataques cibernéticos”, disse o pesquisador de segurança da Trellix, Gurumoorthi Ramanathan.
A lista de sites é a seguinte –
– avast-securedownload[.]com, que é usado para distribuir o trojan SpyNote na forma de um arquivo de pacote Android (“Avast.apk”) que, uma vez instalado, solicita permissões intrusivas para ler mensagens SMS e registros de chamadas, instalar e excluir aplicativos, tirar screenshots, rastrear localização e até mesmo minerar criptomoedas
– bitdefender-app[.]com, que é usado para distribuir um arquivo ZIP de arquivo (“setup-win-x86-x64.exe.zip”) que implanta o malware ladrão de informações Lumma
– malwarebytes[.]pro, que é usado para distribuir um arquivo RAR de arquivo (“MBSetup.rar”) que implanta o malware ladrão de informações StealC
A empresa de cibersegurança também descobriu um binário Trellix chamado “AMCoreDat.exe” que serve como um conduto para soltar um malware ladrão capaz de colher informações da vítima, incluindo dados do navegador, e exfiltrá-los para um servidor remoto.
Atualmente não está claro como esses sites falsos são distribuídos, mas campanhas semelhantes no passado empregaram técnicas como malvertising e envenenamento de SEO. Os malwares ladrões tornaram-se cada vez mais comuns, com cibercriminosos anunciando numerosas variantes personalizadas com diferentes níveis de complexidade. Isso inclui novos ladrões como Acrid, SamsStealer, ScarletStealer e Waltuhium Grabber, bem como atualizações para existentes como SYS01stealer (também conhecido como Album Stealer ou S1deload Stealer).
“O fato de que novos ladrões aparecem de tempos em tempos, combinado com o fato de que sua funcionalidade e sofisticação varia muito, indica que há uma demanda criminosa por ladrões”, disse a Kaspersky em um relatório recente.
Mais cedo nesta semana, a empresa de cibersegurança russa também detalhou uma campanha de malware Gipy que capitaliza a popularidade das ferramentas de inteligência artificial (IA) ao anunciar um gerador de voz IA falso por meio de sites de phishing. Uma vez instalado, o Gipy carrega malwares de terceiros hospedados no GitHub, que vão de ladrões de informações (Lumma, RedLine, RisePro e LOLI Stealer) e mineradores de criptomoedas (Apocalypse ClipBanker) a cavalos de Troia de acesso remoto (DCRat e RADXRat) e backdoors (TrueClient).
Isso ocorre à medida que os pesquisadores descobriram um novo trojan bancário Android chamado Antidot que se disfarça como uma atualização do Google Play para facilitar o roubo de informações, abusando das APIs de acessibilidade e MediaProjection do Android.
“Em termos de funcionalidade, o Antidot é capaz de keylogging, ataques de sobreposição, exfiltração de SMS, capturas de tela, roubo de credenciais, controle de dispositivo e execução de comandos recebidos dos atacantes”, disse a Symantec, empresa da Broadcom, em um boletim.