FakeBat zlonamjerni softver

AUTOR ·

FakeBat je zlonamjerni softver za učitavanje koji se prodaje kao usluga na forumima o sajber kriminalu najmanje od decembra 2022. godine. Dolazi u MSI formatu i nudi nekoliko funkcija protiv otkrivanja, što mu omogućava da zaobiđe Google smjernice o neželjenom softveru i Windows Defender upozorenja i bude zaštićen od otkrivanja na VirusTotal platformi.

FakeBat

FakeBat zlonamjerni softver; Source: Bing Image Creator

FAKEBAT

FakeBat je zlonamjerni softver za učitavanje koji se prodaje po modelu zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS), a pojavio se krajem 2022. godine i od tada je postao jedna od najrasprostranjenijih porodica zlonamjernog softvera za učitavanje. Eugenfest, takođe poznat kao Payk_34, počeo je da reklamira FakeBat na forumima za sajber kriminal kao što je Exploit kao prekrivenu prijetnju koja može da zaobiđe otkrivanje Google smjernica o neželjenom softveru i Windows Defender upozorenja i bude zaštićen od otkrivanja na VirusTotal platformi.

 

Funkcionisanje

FakeBat je sofisticirana porodica zlonamjernog softvera koja može da preuzme i izvrši razne štetne sadržaje putem napada u prolazu (eng. drive-by download attacks). Ovi napadi se dešavaju kada korisnici posjećuju kompromitovane internet lokacije, što dovodi do toga da se zlonamjerni kôd automatski instalira na njihove sisteme bez ikakve interakcije korisnika ili prethodnog znanja. FakeBat sposobnost da se neotkriven infiltrira u sisteme čini ga opasnim protivnikom, koji predstavlja ozbiljne prijetnje i organizacijama i pojedincima.

Primarni cilj FakeBat zlonamjernog softvera je da dobije administrativni pristup zaraženom sistemu za dalju eksploataciju. Jednom instaliran, FakeBat može da obavlja različite zlonamjerne aktivnosti kao što su krađa osjetljivih podataka, instaliranje dodatnog zlonamjernog softvera ili čak prodaja kompromitovane mašine kao dio botnet mreže. Modularni dizajn zlonamjernog softvera omogućava mu da se brzo prilagođava i razvija, čineći otkrivanje i uklanjanje izazovnim za tradicionalna antivirusna rješenja.

FakeBat prva faza je prvenstveno distribuirana putem elektronske pošte raznim kompanijama ili se ubacuju sa spoljnih internet lokacija koje su kompromitovane, korištenjem tehnike napada u prolazu. Ovaj metod omogućava zlonamjernim akterima da zaraze žrtve jednostavnim posjetom kompromitovanoj internet lokaciji ili klikom na zlonamjernu vezu. Nakon toga, glavni zadatak FakeBat zlonamjernog softvera je da preuzme i izvrši korisni teret sljedeće faze, koji može uključivati ozloglašeni zlonamjerni softver kao što su IcedID, Lumma, RedLine, SmokeLoader, SectopRAT i Ursnif. Ovi zlonamjerni softveri predstavljaju značajnu prijetnju sajber bezbjednosti zbog svojih mogućnosti.

 

Distribucija

Tokom proteklih nekoliko godina, zlonamjerni akteri su sve više koristili odredišne stranice koje oponašaju legitimne softverske internet stranice u svojim kampanjama distribucije, maskirajući svoj zlonamjerni softver kao legitimne instalacije. Identifikovano je nekoliko kanala distribucije za FakeBat, od kojih svaki odgovara različitim korisnicima zlonamjernog softvera kao usluge (MaaS).

 

Zlonamjerno oglašavanje i lažno predstavljanje softvera

FakeBat operateri često koriste kompromitovane internet lokacije da distribuiraju svoj zlonamjerni softver putem zlonamjernih oglasa ili lažnih preuzimanja softvera. Ovi napadi su posebno efikasni kada ciljaju korisnike koji posjeduju internet stranice visokog rizika ili one koji imaju slabe bezbjednosne mjere. Jednom kada korisnik klikne na zaraženi oglas, nesvjesno instalira FakeBat na svoj sistem.

 

Lažna ažuriranja internet pregledača

Još jedan metod distribucije uključuje prevare korisnika da preuzmu i instaliraju lažne ispravke za svoje internet pregledače. Ova ažuriranja su često maskirna kao legitimni softver popularnih brendova. Jednom instaliran, zlonamjerni softver se automatski izvršava, tiho inficirajući sistem FakeBat zlonamjerni softver.

 

Šeme socijalnog inženjeringa na društvenim mrežama

Na kraju, napadi društvenog inženjeringa preko društvenih mreža su se pokazali kao efikasan metod distribucije za FakeBat zlonamjerni softver. Operateri kreiraju lažne profile i koriste ih da namame korisnike da kliknu na zlonamjerne veze ili preuzmu zaražene datoteke. Ove šeme često iskorištavaju ljudske emocije kao što su strah, radoznalost ili pohlepa da bi manipulisali žrtvama da ugroze njihove sisteme.

 

FakeBat MaaS

Distribucija FakeBat zlonamjernog softvera nije izolovana operacija, već unosan poslovni model. Operateri nude svoje usluge klijentima po modelu zlonamjerni softver kao usluga (MaaS), omogućavajući im da unovče instaliranje zlonamjernog softvera u ime FakeBat operatera. Ova usluga, koja se često naziva naplata po instalaciji (eng. Pay-Per-Install PPI), pruža korisnicima udio u profitu koji se ostvaruje od svake uspješne infekcije.

U septembru 2023. godine FakeBat se prodavao za 1.000 američkih dolara nedjeljno i 2.500 američkih dolara mjesečno za MSI format, 1.500 američkih dolara nedjeljno i 4.000 američkih dolara mjesečno za MSIX format i 1.800 američkih dolara nedjeljno i 5.000 američkih dolara mjesečno za paket MSI + Signature. Ove brojke ukazuju na značajan FakeBat tok prihoda za operatere i njihove klijente.

 

ZAKLJUČAK

FakeBat je sofisticirani zlonamjerni softver iza kojeg stoji grupa zlonamjernih aktera pod nazivom Eugenfest koja je nedavno privukla značajnu pažnju zbog svojih naprednih tehnika distribucije zlonamjernog softvera. Koristeći napade u prolazu u kombinaciji sa kompromitovanim internet lokacijama sa lažnim softverom i šemama društvenog inženjeringa, FakeBat može tiho i prikriveno da inficira žrtve bez potrebe za bilo kakvom interakcijom korisnika osim posjete kompromitovanoj internet lokaciji ili klika na zlonamjernu vezu.

Uticaj ovakvih prijetnji na organizacije je značajan, jer mogu da zaobiđu Google smjernice o neželjenom softveru i Windows Defender upozorenja i budu zaštićeni od otkrivanja na VirusTotal platformi, što otežava bezbjednosnim timovima da efikasno zaštite svoju digitalnu imovinu. Kako okruženje sajber bezbjednosti nastavlja da se razvija, razumijevanje naprednih zlonamjernih prijetnji kao što je FakeBat i informisanje o njihovim taktikama je ključno za organizacije koje žele da zaštite svoje sisteme od potencijalnih prijetnji.

 

ZAŠTITA

Da bi se efikasno zaštitili od zlonamjernog softvera FakeBat, korisnici i organizacije treba da daju prioritet robusnim praksama sajber bezbjednosti kao što su:

  1. Potrebno je biti u toku sa najnovijim trendovima i pratnjama zlonamjernog softvera, uključujući FakeBat, tako što će se redovno pratiti bezbjednosne vesti i upozorenja iz pouzdanih izvora. Ovo će pomoći da se razumiju trenutni pejzaž prijetnji i preduzimaju odgovarajuće mjere za zaštitu sistema,
  2. Koristiti napredne alate za otkrivanje prijetnji kao što su antivirusni softver, sistemi za sprečavanje upada (eng. intrusion prevention systems – IPS) i zaštitni zidovi da bi se identifikovao i blokirao zlonamjerni softver prje nego što on može da se infiltrira u mrežno okruženje. Ove alate treba redovno ažurirati najnovijim definicijama i potpisima kako bi se osiguralo da mogu otkriti nove prijetnje,
  3. Obavljati redovne bezbjednosne revizije sistema, aplikacija i mreža da bi se identifikovale ranjivosti i slabosti koje bi mogao da iskoristi zlonamjerni softver kao što je FakeBat. Koristiti rezultate ovih revizija da se odrede prioriteti i blagovremeno riješe svi identifikovani problemi,
  4. Obučiti zaposlene navikama bezbjednog pregledanja, kao što su izbjegavanje sumnjivih elektronskih poruka ili internet lokacija, korišćenje jakih lozinki i omogućavanje autentifikacije u više koraka gdje je to moguće. Ovo će pomoći da se smanji rizik od ljudske greške koja dovodi do uspješnog napada zlonamjernog softvera,
  5. Uvjeriti se da su često korišćene aplikacije kao što su AnyDesk, Zoom, Teams i Chrome bezbjedno konfigurisane i ažurirane najnovijim ispravkama i bezbjednosnim funkcijama. Sprovesti kontrolu pristupa i autentifikaciju u više koraka gdje je moguće da bi se ograničio rizik od neovlaštenog pristupa ili ugrožavanja podataka,
  6. Razmisliti o primjeni smjernica za listu dozvoljenih aplikacija koje dozvoljavaju samo odobrenim aplikacijama da se pokreću na sistemima. Ovo može pomoći u sprečavanju izvršavanja zlonamjernog softvera kao što je FakeBat, koji se često oslanja na iskorišćavanje ranjivosti u često korištenim aplikacijama,
  7. Koristiti rješenje za sprečavanje gubitka podataka (eng. Data Loss Prevention – DLP) za nadgledanje i kontrolu pristupa podacima i izlaza na svim krajnjim tačkama, uključujući laptop, personalne računare i mobilne uređaje. Ovo može da spriječi da osjetljive informacije budu eksfiltrirane od strane zlonamjernog softvera,
  8. Primijeniti segmentaciju mreže dijeljenjem mreže na manje podmreže da bi se ograničilo širenje zlonamjernog softvera u slučaju da uspije da zaobiđe zaštitne mehanizme. Koristiti zaštitne zidove i kontrole pristupa da se ograniči saobraćaj između segmenata i primijeniti sisteme za otkrivanje upada (IDS) za upozoravanje ako se otkrije bilo kakva sumnjiva aktivnost,
  9. Primijeniti rješenja za zaštitu krajnjih tačaka kao što su antivirusni softver, sistemi za sprečavanje upada zasnovani na hostu (eng. host-based intrusion prevention systems – HIPS) i alati za otkrivanje i softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) na svim krajnjim tačkama kako bi se pomoglo u otkrivanju i blokiranju zlonamjernog softvera prije nego što može da izazove štetu,
  10. Koristite virtualnu privatnu mrežu (eng. Virtual Private Networks – VPN) za šifrovanje saobraćaja između mreže korisnika/organizacije i udaljenih radnika ili filijala, pomažući u zaštiti od presretanja podataka od strane napadača.

 

Primjenom ovih najboljih praksi u oblasti sajber bezbjednosti, organizacije i korisnici mogu efikasno da se zaštite od rastuće prijetnje koju predstavlja sofisticirani zlonamjerni softver kao što je FakeBat.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.