Pesquisadores de segurança cibernética descobriram um aumento nas infecções por malware originadas de campanhas de malvertising, que estão distribuindo um loader chamado FakeBat. Essas campanhas são oportunistas, direcionadas a usuários que buscam por softwares populares de negócios, conforme relatado pela equipe Mandiant Managed Defense em um relatório técnico. O malware FakeBat, também conhecido como EugenLoader e PaykLoader, está ligado a um ator de ameaças chamado Eugenfest. A equipe de inteligência de ameaças da Google está rastreando esse malware sob o nome NUMOZYLOD e atribui essa operação de Malware como Serviço (MaaS) ao grupo UNC4536.

As cadeias de ataque que propagam o FakeBat utilizam técnicas de drive-by download, que redirecionam usuários que buscam por softwares populares para sites falsos que hospedam instaladores MSI armadilhados. Algumas das famílias de malware entregues por meio do FakeBat incluem IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (também conhecido como ArechClient2) e Carbanak, um malware associado ao grupo de crimes cibernéticos FIN7. O modo de operação do UNC4536 envolve o uso de malvertising para distribuir instaladores MSIX trojanizados, disfarçados como softwares populares, como Brave, KeePass, Notion, Steam e Zoom.

Esses instaladores são hospedados em sites que imitam páginas legítimas de hospedagem de software, atraindo usuários a baixá-los. O que torna esse ataque notável é o uso de instaladores MSIX disfarçados, que têm a capacidade de executar um script antes de lançar o aplicativo principal, utilizando uma configuração chamada startScript. Dessa forma, o FakeBat atua como um veículo de entrega para cargas maliciosas subsequentes de parceiros comerciais, incluindo o grupo FIN7.