В отчете говорится, что мошенническое программное обеспечение FakeBat, которое распространяется с использованием метода попутной загрузки, стало одним из самых распространенных вредоносных программ в этом году. Текущий отчет Секойя Энтерпрайзис.

FakeBat предназначен для загрузки и запуска вредоносных программ следующего уровня, таких как IcedID, Lumma, RedLine, SmokeLoader, SectopRAT и Ursnif. Вредоносное ПО распространяется с помощью таких методов, как SEO-отравление, вредоносная реклама и внедрение кода на взломанные веб-сайты, чтобы обманом заставить пользователей загрузить поддельные установщики или обновления браузера.

В последние годы распространенность загрузчиков вредоносного ПО возросла из-за использования поддельных страниц, имитирующих легальное программное обеспечение. Фишинг и социальная инженерия остаются основными методами, которые злоумышленники используют для получения первоначального доступа.

FakeBat, также известный как EugenLoader и PaykLoader, продается на подпольных форумах с декабря 2022 года по модели LaaS (Loader-as-a-Service). Этот загрузчик предназначен для обхода механизмов безопасности и позволяет пользователям создавать сборки с использованием шаблонов для заражения законного программного обеспечения. Он также предлагает возможность контролировать установки через панель администратора.

Если в предыдущих версиях FakeBat хакеры преимущественно использовали формат MSI для создания вредоносного ПО, то в сентябре 2023 года они перешли на формат MSIX и добавили цифровую подпись с действующим сертификатом для обхода защиты Microsoft SmartScreen.

Стоимость использования FakeBat довольно впечатляет:

• 1000 долларов в неделю и 2500 долларов в месяц за формат MSI;
• 1500 долларов в неделю и 4000 долларов в месяц за формат MSIX;
• 1800 долларов США в неделю и 5000 долларов США в месяц за пакет цифровой подписи.

Sekoia обнаружила несколько способов распространения FakeBat: через поддельную рекламу Google, поддельные обновления браузера на взломанных веб-сайтах и ​​усилия социальной инженерии в социальных сетях. В кампании FakeBat участвуют киберпреступные группировки FIN7, Nitrogen и BATLOADER. Серверы FakeBat C2 фильтруют трафик на основе таких характеристик, как пользовательский агент, IP-адрес и местоположение, позволяя вредоносному ПО нацеливаться на определенные цели.

Тогда же были опубликованы результаты экспертов Sekoia. из Центра Безопасности АнЛаб (ASEC) в кампании по распространению другого загрузчика – DBatLoader – через фишинговые электронные письма, связанные со счетами. Также была выявлена ​​цепочка заражения, которая распространяет Hijack Loader через пиратские киносайты и в конечном итоге устанавливает вредоносное ПО Lumma.