Киберпреступники активно используют вредоносное ПО FakeBat для атак методом drive-by download

В этом году киберпреступная группировка, известная под именем FakeBat, стала одной из ведущих в распространении вредоносного ПО через атаки методом drive-by download. Основными целями стали пользователи из различных стран, включая Канаду, Индию, Польшу и США. FakeBat используется для загрузки и выполнения вторичных вредоносных программ, таких как IcedID, Lumma, RedLine, SmokeLoader, SectopRAT и Ursnif, с целью мониторинга активности пользователей и кражи конфиденциальных данных.

Группа Eugenfest, также известная как Payk_34, предлагает FakeBat на подпольных форумах по модели LaaS (Loader-as-a-Service) уже с декабря 2022 года. Этот лоадер разработан для обхода средств защиты и предоставляет клиентам возможность создавать и администрировать вредоносные сборки, используя шаблоны для того, чтобы маскировать их под легитимное программное обеспечение.

Последние версии FakeBat начиная с сентября 2023 года перешли на формат MSIX и добавили цифровую подпись для обхода защиты Microsoft SmartScreen. Стоимость аренды FakeBat составляет от $1,000 до $5,000 в зависимости от формата и пакета услуг.

Злоумышленники используют несколько подходов для распространения FakeBat, включая мошенническую рекламу через Google Ads, поддельные обновления браузера через компрометированные сайты и социальную инженерию в социальных сетях. Эти методы позволяют им скрыть вредоносное ПО и направить его к конкретным целям, управляемым через серверы команды и контроля.