Cargador de lujo: por qué los hackers pagan miles de dólares por FakeBat

El software malicioso FakeBat, distribuido mediante la técnica de descarga drive-by, se ha convertido en uno de los programas maliciosos más extendidos de este año, según informa la empresa Sekoia en su reciente informe.

FakeBat está diseñado para descargar y ejecutar la siguiente etapa de malware, como IcedID, Lumma, RedLine, SmokeLoader, SectopRAT y Ursnif. El malware se propaga a través de métodos como el envenenamiento SEO, publicidad maliciosa e inyecciones de código en sitios web comprometidos, para hacer que los usuarios descarguen instaladores falsos o actualizaciones de navegadores.

En los últimos años, la propagación de cargadores de malware se ha intensificado mediante el uso de páginas falsas que imitan software legítimo. El phishing y la ingeniería social siguen siendo los principales métodos utilizados por los ciberdelincuentes para obtener acceso inicial.

FakeBat, también conocido como EugenLoader y PaykLoader, se vende en foros clandestinos bajo el modelo LaaS (Loader-as-a-Service) desde diciembre de 2022. Este cargador está diseñado para evadir mecanismos de protección y permite a los usuarios crear compilaciones utilizando plantillas para troyanizar software legítimo. También ofrece la posibilidad de monitorear las instalaciones a través de un panel de administrador.

Si en versiones anteriores de FakeBat los hackers utilizaban principalmente el formato MSI para crear programas maliciosos, desde septiembre de 2023 cambiaron al formato MSIX y añadieron una firma digital con un certificado válido para evadir la protección de Microsoft SmartScreen.

El costo de usar FakeBat es considerablemente alto:

• $1000 por semana y $2500 por mes para el formato MSI;
• $1500 por semana y $4000 por mes para el formato MSIX;
• $1800 por semana y $5000 por mes para el paquete con firma digital.

Sekoia descubrió varios métodos de distribución de FakeBat: a través de anuncios falsos de Google, actualizaciones falsas de navegadores en sitios web comprometidos y esquemas de ingeniería social en redes sociales. Grupos de ciberdelincuentes como FIN7, Nitrogen y BATLOADER están involucrados en la campaña que utiliza FakeBat. Los servidores C2 de FakeBat filtran el tráfico según características como el User-Agent, la dirección IP y la ubicación, lo que permite dirigir el malware a objetivos específicos.

Los hallazgos de los expertos de Sekoia se publicaron simultáneamente con un informe del Centro de Seguridad AhnLab (ASEC) sobre una campaña de distribución de otro cargador, DBatLoader, a través de correos electrónicos de phishing relacionados con facturas. También se identificó una cadena de infecciones que distribuye Hijack Loader a través de sitios web de películas piratas, que finalmente instala el malware Lumma.