FakeBat-Malware verbreitet sich über Suchanfragen nach beliebter Software
Es wurde ein Anstieg von Malware-Infektionen durch Malvertising-Kampagnen festgestellt, bei denen der Loader FakeBat verbreitet wird. Diese Angriffe richten sich gegen Nutzer, die nach populärer Unternehmenssoftware suchen, und infizieren deren Systeme über ein manipuliertes MSIX-Installationsprogramm.
FakeBat, auch bekannt unter den Namen EugenLoader und PaykLoader, wird einer Bedrohungsgruppe namens Eugenfest zugeordnet. Diese Malware wird von Googles Threat-Intelligence-Team unter dem Namen NUMOZYLOD verfolgt und der Malware-as-a-Service-(MaaS)-Operation UNC4536 zugeschrieben. Diese Gruppierung nutzt FakeBat als Teil einer breiteren Kampagne, um Malware zu verbreiten und dadurch verschiedene kriminelle Aktivitäten zu unterstützen.
Laut einem technischen Bericht des Mandiant Managed Defense Teams sind die Angriffe opportunistischer Natur. Sie zielen auf Benutzer ab, die im Internet nach gängiger Unternehmenssoftware suchen. Die Infektion beginnt, wenn Nutzer ein trojanisiertes MSIX-Installationsprogramm herunterladen, das als legitime Software getarnt ist. Dieses Installationsprogramm führt ein PowerShell-Skript aus, das eine sekundäre Nutzlast herunterlädt, wodurch der Computer des Opfers weiter kompromittiert wird.
Drive-by-Download-Techniken
Die Angriffsketten, die zur Verbreitung der FakeBat-Malware führen, nutzen Drive-by-Download-Techniken. Diese Techniken lenken Nutzer, die nach populärer Software suchen, auf gefälschte Websites, die den echten Download-Seiten sehr ähnlich sehen. Diese täuschend echt wirkenden Websites enthalten jedoch mit Malware versehene Installationsdateien im MSI-Format, die beim Herunterladen und Ausführen das System infizieren.
FakeBat dient als Träger für verschiedene Malware-Familien, darunter IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (auch bekannt als ArechClient2) und Carbanak. Carbanak ist eine besonders gefährliche Malware, die mit der Cybercrime-Gruppe FIN7 in Verbindung steht, einer berüchtigten Bande, die für zahlreiche Cyberangriffe verantwortlich ist.
Malvertising-Kampagnen
Der Modus Operandi von UNC4536 besteht darin, Malvertising-Kampagnen zu nutzen, um trojanisierte MSIX-Installationsprogramme zu verbreiten. Diese Programme tarnen sich als bekannte und häufig eingesetzte Software wie Brave, KeePass, Notion, Steam und Zoom. Die gefälschten Installationsdateien werden auf Websites gehostet, die legitimen Software-Hosting-Plattformen täuschend ähnlich sehen, um die Nutzer zum Herunterladen zu verleiten.
Das Besondere an diesem Angriff ist, dass die verwendeten MSIX-Installationsprogramme so konfiguriert sind, dass sie ein Skript ausführen, bevor die eigentliche Anwendung gestartet wird. Diese Technik wird durch eine Konfigurationsmethode namens „startScript“ ermöglicht, die es dem Angreifer erlaubt, bösartigen Code auszuführen, bevor die Hauptsoftware in Betrieb genommen wird.
UNC4536 agiert im Wesentlichen als Verteiler von Malware. FakeBat fungiert dabei als Transportvehikel, um die nächste Stufe der schädlichen Nutzlast für die Geschäftspartner von UNC4536, einschließlich der FIN7-Gruppe, bereitzustellen.
NUMOZYLOD
NUMOZYLOD, eine Variante von FakeBat, sammelt Systeminformationen wie Betriebssystemdetails, Informationen über verbundene Domänen und installierte Antivirenprodukte. In einigen Versionen erfasst die Malware auch die öffentliche IPv4- und IPv6-Adresse des infizierten Geräts und sendet diese Informationen an ihren Kontrollserver (C2). Außerdem erstellt sie eine Verknüpfung (.lnk) im StartUp-Ordner des Systems, um nach einem Neustart des Rechners persistieren zu können.
Diese Enthüllungen über UNC4536 und FakeBat kommen etwas mehr als einen Monat nach Mandiants Bericht über einen weiteren Malware-Downloader namens EMPTYSPACE, auch bekannt als BrokerLoader oder Vetta Loader. Dieser wird von einer anderen, finanziell motivierten Bedrohungsgruppe namens UNC4990 genutzt. UNC4990 setzt EMPTYSPACE ein, um Datenexfiltration und Kryptojacking-Aktivitäten gegen vornehmlich italienische Unternehmen zu unterstützen.