Sites falsos de antivírus espalham malware para Android e Windows

30/05/2024 mindsecblog Notícias 5

Sites falsos de antivírus espalham malware para Android e Windows. Soluções antivírus legítimas da Avast, Bitdefender e Malwarebytes foram alvos de sites falsos.

Foram observados agentes de ameaças fazendo uso de sites falsos disfarçados de soluções antivírus legítimas da Avast, Bitdefender e Malwarebytes para propagar malware capaz de roubar informações confidenciais de dispositivos Android e Windows.

“Hospedar software malicioso em sites que parecem legítimos é predatório para os consumidores em geral, especialmente aqueles que procuram proteger seus dispositivos contra ataques cibernéticos”, disse o pesquisador de segurança da Trellix, Gurumoorthi Ramanathan .

A lista de sites está abaixo –

avast-securedownload[.]com, que é usado para entregar o trojan SpyNote na forma de um arquivo de pacote Android (“Avast.apk”) que, uma vez instalado, solicita permissões intrusivas para ler mensagens SMS e registros de chamadas, instalar e exclua aplicativos, faça capturas de tela, rastreie a localização e até minere criptomoedas

bitdefender-app[.]com, que é usado para entregar um arquivo ZIP (“setup-win-x86-x64.exe.zip”) que implanta o malware ladrão de informações Lumma

malwarebytes[.]pro, que é usado para entregar um arquivo RAR (“MBSetup.rar”) que implanta o malware ladrão de informações StealC

A empresa de segurança cibernética disse que também descobriu um binário Trellix desonesto chamado “AMCoreDat.exe” que serve como um canal para lançar um malware ladrão capaz de coletar informações da vítima, incluindo dados do navegador, e exfiltrá-las para um servidor remoto.

Atualmente não está claro como esses sites falsos são distribuídos, mas campanhas semelhantes no passado empregaram técnicas como malvertising e envenenamento por otimização de mecanismos de pesquisa (SEO) .

O malware ladrão tornou-se cada vez mais uma ameaça comum, com os cibercriminosos anunciando inúmeras variantes personalizadas com vários níveis de complexidade. Isso inclui novos ladrões como Acrid , SamsStealer , ScarletStealer e Waltuhium Grabber , bem como atualizações para os existentes, como SYS01stealer (também conhecido como Album Stealer ou S1deload Stealer ).

“O fato de novos ladrões aparecerem de vez em quando, combinado com o fato de que sua funcionalidade e sofisticação variam muito, indica que há uma demanda criminosa por ladrões no mercado”, disse Kaspersky em um relatório recente.

No início desta semana, a empresa russa de segurança cibernética também detalhou uma campanha de malware Gipy que capitaliza a popularidade das ferramentas de inteligência artificial (IA) ao anunciar um falso gerador de voz de IA através de sites de phishing.

Uma vez instalado, o Gipy carrega malware de terceiros hospedado no GitHub, desde ladrões de informações (Lumma, RedLine, RisePro e LOLI Stealer) e mineradores de criptomoedas (Apocalypse ClipBanker) até trojans de acesso remoto (DCRat e RADXRat) e backdoors (TrueClient).

O desenvolvimento ocorre no momento em que os pesquisadores descobrem um novo trojan bancário para Android chamado Antidot, que se disfarça como uma atualização do Google Play para facilitar o roubo de informações, abusando da acessibilidade do Android e das APIs MediaProjection .

“Em termos de funcionalidade, o Antidot é capaz de registrar teclas, ataques de sobreposição, exfiltração de SMS, capturas de tela, roubo de credenciais, controle de dispositivos e execução de comandos recebidos dos invasores”, disse a Symantec, de propriedade da Broadcom , em um boletim.