Pesquisadores de segurança cibernética alertaram sobre um novo esquema de atualizações falsas de navegador que está espalhando os malwares BitRAT e Lumma Stealer. A investigação revelou que os atacantes estão utilizando atualizações fraudulentas para infectar dispositivos, comprometendo a segurança dos usuários. Os ataques foram detectados em maio de 2024 e envolvem a distribuição de atualizações falsas para navegadores populares. Ao visitar uma página da web infectada, os usuários são redirecionados para uma página de atualização falsa, onde um arquivo malicioso chamado ‘Update.zip’ é baixado automaticamente para o dispositivo da vítima. Este arquivo contém scripts PowerShell que baixam e executam os malwares BitRAT e Lumma Stealer.

O BitRAT é uma ferramenta de acesso remoto com capacidades avançadas, incluindo a possibilidade de realizar ataques DDoS, recuperação de senhas, mineração de criptomoedas e acesso remoto à área de trabalho. Ele também permite o controle de milhares de dispositivos infectados, tornando-o uma ameaça significativa. O Lumma Stealer, por sua vez, é um malware de roubo de informações que tem como alvo carteiras de criptomoedas, extensões de navegador 2FA e outros dados sensíveis. Desenvolvido em linguagem C, ele opera como um serviço de malware, sendo vendido em fóruns de língua russa desde agosto de 2022.

Os ataques exploram vulnerabilidades comuns, como credenciais fracas e interfaces administrativas expostas, para obter acesso inicial aos dispositivos. Após o comprometimento, os malwares utilizam técnicas avançadas para se manterem ativos e ocultos nos sistemas infectados, dificultando a detecção e a remoção.