Hackers clonam site da Bitdefender para espalhar malware Venom RAT e roubar carteiras de criptomoedas

Pesquisadores identificaram uma nova campanha maliciosa que utiliza um site falso da Bitdefender para enganar vítimas e induzi-las a baixar o trojan de acesso remoto (RAT) Venom, com o objetivo de roubar credenciais, carteiras de criptomoedas e possivelmente vender o acesso remoto aos sistemas comprometidos.

Segundo o relatório da equipe de inteligência da DomainTools, o site fraudulento — hospedado em “bitdefender-download[.]com” — imita a página oficial da empresa de segurança e oferece um botão chamativo “Download for Windows”. Ao clicar, o usuário inicia o download de um arquivo hospedado em um repositório Bitbucket, que por sua vez redireciona para um bucket da Amazon S3. O repositório original já foi desativado.

O arquivo ZIP baixado, nomeado como “BitDefender.zip”, contém um executável chamado “StoreInstaller.exe”, que carrega o Venom RAT, além de trechos de código relacionados aos frameworks de pós-exploração SilentTrinity e ao malware StormKitty, especializado em roubo de senhas e carteiras digitais.

O Venom RAT é uma variação do conhecido Quasar RAT, com funcionalidades que permitem o acesso persistente e a extração silenciosa de dados. De acordo com os pesquisadores, o site falso compartilha semelhanças estruturais com outros domínios maliciosos que simulam portais bancários e serviços de TI, muitos deles usados em ataques de phishing contra usuários do Royal Bank of Canada e da Microsoft.

“A operação funciona como uma engrenagem bem ajustada: o Venom RAT invade, o StormKitty coleta credenciais e dados financeiros, e o SilentTrinity garante que o invasor continue no sistema sem ser detectado”, afirma a DomainTools.

A campanha destaca uma tendência preocupante: hackers estão utilizando malwares modulares, compostos por componentes open source, o que facilita a personalização, a evasão de detecção e a rápida disseminação.

Além disso, a empresa de segurança Sucuri alertou sobre outra campanha, no estilo ClickFix, que utiliza páginas falsas do Google Meet. Em vez de roubar diretamente credenciais, a página exibe uma falsa mensagem de erro de permissão de microfone e orienta o usuário a colar um comando PowerShell malicioso — o qual instala um script obfuscado chamado noanti-vm.bat, permitindo controle remoto sobre o dispositivo.

Em paralelo, pesquisadores da KnowBe4 relataram uma onda de ataques de phishing altamente sofisticados utilizando a plataforma AppSheet, da Google. O ataque simula mensagens do suporte do Facebook, alertando sobre uma possível exclusão de conta, e leva o usuário a uma página falsa projetada para interceptar logins e códigos de autenticação em dois fatores (2FA), em tempo real.

Para dificultar ainda mais a detecção, os hackers utilizam identificadores polimórficos únicos (como IDs de caso) em cada e-mail, o que dificulta a identificação por sistemas de segurança que dependem de assinaturas ou URLs fixas. O uso de domínios válidos do AppSheet permite ainda que os e-mails passem por filtros de autenticação como SPF, DKIM e DMARC.

Via - THN