假装加载器扩散的新攻击技术

关键要点

• 威胁行为者利用多种“驱动下载”攻击手段部署假装加载器（FakeBat）。
• 该恶意软件通过社会工程和虚假浏览器更新等手段传播。
• 假装加载器已用于分发多种恶意载荷，并采用新的MSIX格式和数字签名以绕过防御措施。
• 攻击者还通过特定的命令与控制服务器过滤流量，针对特定目标分发恶意软件。

威胁行为者已经采用多种“驱动下载”攻击技术，来促进假装加载器（FakeBat）的部署，该恶意软件也被称为PaykLoader和EugenLoader，报道。

分析显示，除了以针对Microsoft Teams和OneNote、AnyDesk、GoogleChrome等广泛使用软件的恶意广告为依托外，攻击者还通过基于社交网络的社会工程策略和虚假浏览器更新来传播假装加载器。Sekoia的进一步分析指出，假装加载器被用于交付、RedLine、IcedID、SectopRAT、Ursnif等恶意载荷，并且该加载器已转向新的MSIX格式，并包含用于逃避微软SmartScreen防御的数字签名。Sekoia表示：“除了托管载荷，假装加载器的命令与控制服务器很可能根据用户代理值、IP地址和位置等特征过滤流量。这使得恶意软件能够分发给特定的目标。”

这些发现与Kroll报告中的内容相呼应，该报告详细说明了使用盗版电影下载网站分发Hijack Loader，最终部署Lumma信息窃取器的情况。