MDTech

servicios

FakeBat regresa: el loader de malware vuelve a través de anuncios maliciosos

Un anuncio malicioso simula ser auténtico al replicar el logotipo y sitio web oficiales, engañando a los usuarios para descargar malware.
FakeBat: el virus regresa después de una pausa de meses
FakeBat: el virus regresa después de una pausa de meses

Constanza Ferreyra

El regreso de FakeBat, conocido también como Eugenloader o PaykLoader, marca una nueva alerta en el mundo de la ciberseguridad. Tras varios meses sin actividad, este malware reapareció el 8 de noviembre de 2024 mediante anuncios de Google.

De acuerdo a los informes de Malwarebytes, FakeBat reapareció mediante un anuncio malicioso relacionado con la aplicación Notion. El anuncio, aparentemente legítimo, incluía el logo y enlace oficial de Notion. Sin embargo, redirigía a un dominio falso tras pasar por un rastreador de clics y un dominio de camuflaje.

Este método de distribución es efectivo debido a que los usuarios no objetivos son redirigidos al sitio legítimo, mientras que las víctimas acceden al contenido malicioso que promete descargar la app para Pc. Esta técnica, conocida como cloaking, permite evadir detecciones automatizadas de plataformas como Google Ads.

Fakebat: la vuelta del virus que opera con Google Ads

Tras la infección inicial, FakeBat ejecuta un script en PowerShell diseñado para evitar entornos de análisis de seguridad. Luego, utiliza técnicas de inyección de procesos, como process hollowing, para cargar el malware LummaC2 Stealer, especializado en el robo de datos sensibles. El análisis realizado por expertos en seguridad reveló que los atacantes emplean herramientas conocidas, como el script de bypass AMSI de RastaMouse, utilizado previamente en ataques similares.  

El resurgimiento de FakeBat expone la vulnerabilidad de los usuarios ante anuncios maliciosos que imitan marcas legítimas. Aunque plataformas como Google cuentan con sistemas de seguridad avanzados, los atacantes aprovechan herramientas integradas, como plantillas de rastreo, para legitimar su actividad.  

FakeBat: el malware ingresa a tu dispositivo falsificando un instalador

Comparado con otros loaders, FakeBat destaca por su capacidad para adaptarse rápidamente y reutilizar métodos efectivos. Sin embargo, esta estrategia también muestra que los actores maliciosos confían en técnicas conocidas, lo que facilita su identificación por parte de investigadores.  

El regreso de FakeBat subraya la importancia de mantenerse alerta frente a posibles amenazas en plataformas comunes como motores de búsqueda. La capacidad de los atacantes para imitar marcas y utilizar anuncios maliciosos pone en evidencia la necesidad de mejoras en la detección de contenidos fraudulentos. Los usuarios deben verificar cuidadosamente los enlaces antes de hacer clic, mientras que las empresas deben reforzar la seguridad de sus sistemas publicitarios para evitar el abuso de sus plataformas.

Archivado en