Você está visualizando atualmente CUIDADO: ESTES SITES FALSOS DE ANTIVÍRUS ESTÃO ESPALHANDO MALWARES NO ANDROID E WINDOWS

CUIDADO: ESTES SITES FALSOS DE ANTIVÍRUS ESTÃO ESPALHANDO MALWARES NO ANDROID E WINDOWS

Threat actors têm sido observados utilizando sites falsos disfarçados como soluções legítimas de antivírus da Avast, Bitdefender e Malwarebytes para propagar malware capaz de roubar informações sensíveis de dispositivos Android e Windows.

“A hospedagem de software malicioso por meio de sites que parecem ser legítimos é predatória para os consumidores em geral, especialmente para aqueles que buscam proteger seus dispositivos contra ataques cibernéticos”, disse o pesquisador de segurança da Trellix, Gurumoorthi Ramanathan.

A lista de sites está abaixo –

– avast-securedownload[.]com, que é usado para entregar o trojan SpyNote na forma de um arquivo de pacote Android (“Avast.apk”) que, uma vez instalado, solicita permissões intrusivas para ler mensagens SMS e logs de chamadas, instalar e excluir aplicativos, tirar capturas de tela, rastrear a localização e até mesmo minerar criptomoedas.

– bitdefender-app[.]com, que é usado para entregar um arquivo de arquivo ZIP (“setup-win-x86-x64.exe.zip”) que implanta o malware de roubo de informações Lumma.

– malwarebytes[.]true, que é usado para entregar um arquivo de arquivo RAR (“MBSetup.rar”) que implanta o malware de roubo de informações StealC.

A empresa de segurança cibernética também descobriu um binário Trellix fraudulento chamado “AMCoreDat.exe” que serve como um conduto para deixar um malware roubador capaz de colher informações da vítima, incluindo dados do navegador, e exfiltrá-lo para um servidor remoto.

Atualmente não está claro como esses sites falsos são distribuídos, mas campanhas semelhantes no passado empregaram técnicas como malvertising e SEO poisoning.

Os malwares roubadores têm se tornado cada vez mais uma ameaça comum, com cibercriminosos anunciando inúmeras variantes personalizadas com diferentes níveis de complexidade. Isso inclui novos roubadores como Acrid, SamsStealer, ScarletStealer e Waltuhium Grabber, bem como atualizações para os existentes como SYS01stealer.

“Ao aparecerem novos roubadores de vez em quando, combinados com o fato de que sua funcionalidade e sofisticação variam muito, isso indica uma demanda criminosa de mercado por roubadores”, afirmou a Kaspersky em um relatório recente.

Na semana anterior, a empresa de cibersegurança russa também detalhou uma campanha de malware Gipy que se aproveita da popularidade das ferramentas de inteligência artificial ao anunciar um falso gerador de voz de IA através de sites de phishing.

Uma vez instalado, o Gipy carrega malwares de terceiros hospedados no GitHub, variando de roubadores de informações (Lumma, RedLine, RisePro e LOLI Stealer) e mineradores de criptomoedas (Apocalypse ClipBanker) a cavalos de Troia de acesso remoto (DCRat e RADXRat) e backdoors (TrueClient).

Isso ocorre à medida que pesquisadores descobriram um novo trojan bancário para Android chamado Antidot, que se disfarça como uma atualização do Google Play para facilitar o roubo de informações ao abusar das APIs de acessibilidade e MediaProjection do Android.

“Em termos de funcionalidade, o Antidot é capaz de keylogging, ataques de overlay, exfiltração de SMS, capturas de tela, roubo de credenciais, controle de dispositivo e execução de comandos recebidos dos atacantes”, disse a Symantec, uma subsidiária da Broadcom, em um boletim.