Atuantes de ameaças usaram sites falsos de antivírus se passando por produtos antivírus legítimos da Avast, Bitdefender e Malwarebytes para distribuir malware. Em meados de abril de 2024, pesquisadores da equipe do Trellix Advanced Research Center identificaram vários sites falsos de antivírus sendo usados para distribuir ladrões de informações. Os sites maliciosos hospedavam arquivos maliciosos sofisticados, como APK, EXE e instalador Inno setup, incluindo capacidades de Espião e Ladrão.
Os sites falsos se passavam por produtos antivírus legítimos da Avast, Bitdefender e Malwarebytes. Os sites hospedando malware são avast-securedownload.com (Avast.apk), bitdefender-app.com (setup-win-x86-x64.exe.zip), malwarebytes.pro (MBSetup.rar).
Abaixo está a lista de sites maliciosos analisados pelos pesquisadores:
- avast-securedownload[.]com: Distribui o trojan SpyNote como um arquivo de pacote Android (“Avast.apk”), que, uma vez instalado, solicita permissões intrusivas, como ler mensagens SMS e registros de chamadas, instalar e excluir aplicativos, tirar capturas de tela, rastrear localização e minerar criptomoedas.
- bitdefender-app[.]com: Distribui um arquivo de arquivo ZIP (“setup-win-x86-x64.exe.zip”) que foi usado para implantar o ladrão de informações Lumma.
- malwarebytes[.]pro: Distribui um arquivo de arquivo RAR (“MBSetup.rar”) que foi usado para implantar o malware ladrão de informações StealC.
Os especialistas também descobriram um binário malicioso da Trellix que finge ser Legit (AMCoreDat.exe).
Os pesquisadores não atribuíram os ataques a um ator de ameaça específico. O relatório também inclui Indicadores de Comprometimento (IoCs) para os ataques que empregam sites falsos de AV.