Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Forskare larmar på farlig BatLoader Malware Dropper

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 331

En farlig ny skadlig programvara laddare med funktioner för att avgöra om det är på ett affärssystem eller en persondator har börjat snabbt infektera system över hela världen under de senaste månaderna.

Forskare vid VMware Carbon Black spårar hotet, kallat BatLoader, och säger att dess operatörer använder dropparen för att distribuera en mängd olika skadliga verktyg, inklusive en banktrojan, en informationsstjälare och Cobalt Strike-verktygslådan efter exploateringen på offersystem. Hotaktörens taktik har varit att vara värd för skadlig programvara på komprometterade webbplatser och locka användare till dessa webbplatser med hjälp av sökmotoroptimering (SEO) förgiftningsmetoder.

Att leva på landet

BatLoader är starkt beroende av batch- och PowerShell-skript för att få ett första fotfäste på en offermaskin och för att ladda ner annan skadlig programvara till den. Detta har gjort kampanjen svårt att upptäcka och blockera, särskilt i de tidiga stadierna, sa analytiker från VMware Carbon Blacks team för managed detection and response (MDR) i en rapport som släpptes den 14 november.

VMware sa att dess Carbon Black MDR-team hade observerat 43 framgångsrika infektioner under de senaste 90 dagarna, förutom många andra misslyckade försök där ett offer laddade ner den första infektionsfilen men inte körde den. Nio av offren var organisationer inom företagssektorn, sju var finansiella tjänsteföretag och fem var inom tillverkning. Andra offer var organisationer inom utbildnings-, detaljhandels-, IT- och hälsovårdssektorerna.

Den 9 november sa eSentire att deras team för hotjakt hade observerat BatLoaders operatör som lockade offer till webbplatser som maskerade sig som nedladdningssidor för populära affärsprogram som LogMeIn, Zoom, TeamViewer och AnyDesk. Hotaktören distribuerade länkar till dessa webbplatser via annonser som visades tydligt i sökmotorernas resultat när användare sökte efter någon av dessa programvaruprodukter.

Säkerhetsleverantören sa att i en incident i slutet av oktober kom en eSentire-kund till en falsk LogMeIn-nedladdningssida och laddade ner ett Windows-installationsprogram som bland annat profilerar systemet och använder informationen för att hämta en nyttolast i andra steg.

"Det som gör BatLoader intressant är att den har inbyggd logik som avgör om offrets dator är en persondator eller en företagsdator", säger Keegan Keplinger, forsknings- och rapporteringsledare vid eSentires TRU-forskarteam. "Den släpper sedan den typ av skadlig programvara som är lämplig för situationen."

Selektiv nyttolastleverans

Till exempel, om BatLoader träffar en persondator, laddar den ner Ursnif bankprogramvara och Vidar informationsstjuveren. Om den träffar en domänansluten dator eller företagsdator, laddar den ner Cobalt Strike och Syncros fjärrövervaknings- och hanteringsverktyg, förutom banktrojanen och informationsstjälaren.

"Om BatLoader landar på en persondator kommer den att fortsätta med bedrägeri, infostöld och bankbaserade nyttolaster som Ursnif," säger Keegan. "Om BatLoader upptäcker att den är i en organisatorisk miljö, kommer den att fortsätta med intrångsverktyg som Cobalt Strike och Syncro."

Keegan säger att eSentire har observerat "många" av de senaste cyberattackerna som involverar BatLoader. De flesta av attackerna är opportunistiska och drabbar alla som letar efter pålitliga och populära gratis mjukvaruverktyg. 

"För att komma framför organisationer använder BatLoader förgiftade annonser så att när anställda letar efter pålitlig fri programvara, som LogMeIn och Zoom, landar de istället på webbplatser som kontrolleras av angripare och levererar BatLoader."

Överlappar med Conti, ZLoader

VMware Carbon Black sa att även om det finns flera aspekter av BatLoader-kampanjen som är unika, så finns det också flera attribut hos attackkedjan som har en likhet med Conti ransomware operation

Överlappningarna inkluderar en IP-adress som Conti-gruppen använde i en kampanj som utnyttjade Log4j-sårbarheten, och användningen av ett fjärrhanteringsverktyg som heter Atera som Conti har använt i tidigare operationer. 

Utöver likheterna med Conti har BatLoader även flera överlappningar med Zloader, en banktrojan som verkar härröra från Zeus banktrojan i början av 2000-talet, sa säkerhetsförsäljaren. De största likheterna där inkluderar användningen av SEO-förgiftning för att locka offer till webbplatser med skadlig programvara, användningen av Windows Installer för att etablera ett första fotfäste och användningen av PowerShell, batch-skript och andra inbyggda OS-binärer under attackkedjan.

Mandiant var den första att rapportera om BatLoader. I ett blogginlägg i februari rapporterade säkerhetsleverantören att han observerade en hotaktör som använder teman "gratis produktivitetsappsinstallation" och "gratis programvaruutvecklingsverktyginstallation" som sökord för SEO för att locka användare att ladda ner webbplatser. 

"Denna initiala BatLoader-kompromiss var början av en infektionskedja i flera steg som ger angriparna fotfäste i målorganisationen, säger Mandiant. Angriparna använde varje steg för att sätta upp nästa fas i attackkedjan med hjälp av verktyg som PowerShell, Msiexec.exe och Mshta.exe för att undvika upptäckt.

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.