En lo que va de 2024, el malware conocido como FakeBat Loader, también denominado EugenLoader o PaykLoader, emergió como una amenaza significativa al utilizar la técnica de descarga automática. Este método ha sido adoptado crecientemente por los cibercriminales para diseminar malware a través de las actividades de navegación web de usuarios desprevenidos.
Las descargas automáticas emplean estrategias como el envenenamiento de SEO, la publicidad maliciosa y la inyección de código malicioso en sitios web comprometidos. Estos métodos engañan a los usuarios para que descarguen software o actualizaciones falsos, lo que lleva a la instalación inadvertida de malware como loaders (por ejemplo, FakeBat, BatLoader), botnets (por ejemplo, IcedID, PikaBot) y otros tipos de software malicioso.
FakeBat se especializa en la descarga y ejecución de cargas útiles posteriores, como IcedID, Lumma, Redline y otras. Funciona como un Malware-as-a-Service (MaaS), ofreciendo un panel de administración para gestionar la distribución de la carga útil, monitorear la instalación y evadir mecanismos de detección como las políticas de software no deseado de Google y las alertas de Windows Defender.
Durante 2024, se han identificado múltiples campañas de distribución de FakeBat. Estas campañas utilizan diversas tácticas, incluidos sitios web falsos que imitan páginas de descarga de software populares para atraer a los usuarios a descargar FakeBat disfrazado de software legítimo.
“El panel de administración de FakeBat contiene información relacionada con el host infectado, incluida la dirección IP, el país, el sistema operativo, el navegador web, el software imitado y el estado de la instalación. Los clientes también pueden escribir comentarios para cada bot”, señalan los informes.
El actor de amenazas detrás de esta campaña también utiliza actualizaciones falsas de navegadores web para comprometer sitios web e inyectar código que solicita a los usuarios que actualicen sus navegadores con instaladores maliciosos. La ingeniería social es otra táctica preocupante, ya que los hackers pueden atacar comunidades como web3 con aplicaciones falsas y utilizar plataformas de redes sociales para distribuir FakeBat.
Analistas han rastreado meticulosamente la infraestructura de Comando y Control (C2) de FakeBat. Durante el período de agosto de 2023 a junio de 2024, se identificaron varios servidores C2 que alojaban cargas útiles de FakeBat y se observaron cambios en sus tácticas operativas. Estos servidores a menudo emplean métodos para evadir la detección, como filtrar el tráfico en función de los valores de User-Agent y las direcciones IP.
Conoce más sobre: Detecta si estás en un Sitio Web Pirateado
FakeBat, un malware prominente en 2024, utiliza diversos métodos de distribución, tales como la imitación de sitios de software legítimos y la inyección de código malicioso en sitios web comprometidos. Se han identificado dominios asociados con los servidores de comando y control (C2) de FakeBat, incluidos 0212top[.]online, 3010cars[.]top y 756-ads-info[.]site, a menudo registrados con detalles de propiedad ocultos o engañosos.
Estos dominios facilitan la distribución del malware, subrayando su adaptabilidad y la naturaleza cambiante de las amenazas cibernéticas. FakeBat se propaga mediante tácticas como actualizaciones de software falsas. Se han descubierto instancias que atacan aplicaciones como AnyDesk y Google Chrome. Los usuarios son redirigidos a descargar malware disfrazado de actualizaciones legítimas, demostrando las tácticas engañosas del cargador para infiltrarse en los sistemas.
Conoce más sobre: Malware Polimórfico: Una Amenaza en Evolución
Para protegerte de estas amenazas, es fundamental que mantengas una postura de seguridad sólida:
Conoce más sobre: ¿Qué es Malvertising?: Anuncios Maliciosos en Línea