Novo malware, FakeBat Loader, espalha-se via download drive-by

O download drive-by é uma técnica bem estabelecida que os criminosos cibernéticos utilizam para instalar malware no computador de uma vítima. E na primeira metade de 2024, houve um número significativo de campanhas em que este modo de ataque foi utilizado para instalar o malware FakeBat Loader.

Hoje, vou fornecer uma visão geral de como funciona o download drive-by e, em seguida, entraremos nos detalhes do FakeBat Loader e o que ele revela sobre o estado atual da economia do cibercrime. E encerraremos com uma discussão sobre como combater melhor esse tipo de ataque.

Download Drive-by

O download drive-by consiste essencialmente em enganar os utilizadores para descarregarem código malicioso de algum tipo através de um website. Isto pode ser realizado de várias maneiras diferentes. Algumas técnicas comuns incluem:

• Envenenamento de SEO é uma técnica que envolve manipular práticas de otimização de motores de busca para elevar um site falso ou malicioso, fazendo-o parecer genuíno e inofensivo. Assim, por exemplo, uma pesquisa por um determinado download de software pode levar a uma página maliciosa projetada para imitar a verdadeira. Quando clica para descarregar o software que procurava, acaba por introduzir malware no seu sistema.

• Compromisso e injeção de código realiza efetivamente o mesmo objetivo ao atacar e comprometer um site legítimo. Os criminosos injetam então código malicioso no código real do site, de modo que, ao visitar o site ou clicar no que parece ser um link legítimo, o malware será automaticamente descarregado para o seu sistema.

• Publicidade maliciosa é uma técnica muito comum em que criminosos colocam anúncios falsos em websites legítimos, aproveitando-se da complexidade do ecossistema de publicidade online para tornar a deteção improvável. Quando um utilizador clica no anúncio falso, malware é descarregado para o seu sistema. Um exemplo que quase todos já viram é um anúncio que diz "PARE! O seu sistema está infectado!" acompanhado por um botão "Escanear Agora".

Os downloads drive-by podem também empregar janelas de diálogo falsas que parecem vir do seu sistema operativo, ou anúncios pop-up que parecem inofensivos. Clicar para fechar a janela de diálogo ou o anúncio pop-up na verdade desencadeia um download de malware.

Carregador FakeBat

Como o nome sugere, o FakeBat Loader é um tipo de malware cujo principal objetivo é descarregar sub-repticiamente outras cargas de malware secundárias.

Agora pode estar a perguntar-se: "por que passar pelo trabalho de descarregar um loader e depois usar isso para descarregar a carga útil real de malware, em vez de usar apenas a técnica de download drive-by para descarregar a carga útil desde o início?"

Afinal, o FakeBat é tecnicamente classificado como um loader-as-a-service (LaaS). Ou seja, um cibercriminoso—o ator de ameaça de língua russa chamado Eugenfest—oferece o FakeBat como um serviço de subscrição paga a outros criminosos cibernéticos. Está disponível numa variedade de formatos e configurações, consoante as necessidades do utilizador. As subscrições podem ser adquiridas semanal ou mensalmente.

A vantagem de usar o FakeBat, para criminosos cibernéticos comuns, é que está muito bem concebido para ofuscar a sua própria natureza maliciosa, tornando-se improvável ser detetado por estratégias de segurança que procuram websites, anúncios, etc. maliciosos ou comprometidos, envolvidos em downloads drive-by.

Não só isso, mas uma vez instalado no sistema do alvo, é também muito bom a descarregar cargas adicionais sem ser detetado.

Tudo isso tende a destacar a forma como o ecossistema do cibercrime evoluiu para uma economia muito madura, com participantes altamente especializados a trocar serviços valiosos. E, embora os detalhes desta economia subterrânea possam ser muito complexos, a conclusão é que mesmo alguém com habilidades de programação muito limitadas pode lançar ataques cibernéticos muito sofisticados, essencialmente contratando as partes difíceis—como criar um carregador que possa passar despercebido enquanto descarrega malware como ransomware para um sistema alvo.

Defesa eficaz

O phishing e a engenharia social continuam a ser as principais formas de acesso inicial dos atores de ameaças a um sistema alvo. Os downloads involuntários enquadram-se nesta categoria, e uma das formas mais eficazes de reduzir a vulnerabilidade da sua organização é através de programas de formação de sensibilização sobre segurança contínuos e bem concebidos.

Programas de formação online, como Barracuda Security Awareness Training, incluídos como parte de Barracuda Email Protection, podem ser extremamente úteis e comprovadamente reduzem a vulnerabilidade. Mas estas soluções não funcionam automaticamente por si só. Cabe a si criar uma cultura de sensibilização para a segurança e lançar ativamente campanhas de simulação e formação de forma contínua e regular para otimizar a sua eficácia.

Do lado técnico, as soluções de segurança na web são cada vez mais capazes de detectar e bloquear sites maliciosos ou sites legítimos que foram comprometidos. A adição de rastreamento de padrões baseado em IA e deteção de anomalias tem tornado produtos como Barracuda Web Security—parte de Barracuda Network Protection—cada vez mais capazes de evitar que os utilizadores sejam expostos a anúncios falsos, entre outros, e de iniciar ataques de download drive-by.