En farlig ny malware-indlæser med funktioner til at afgøre, om den er på et forretningssystem eller en personlig computer, er begyndt hurtigt at inficere systemer verden over i løbet af de sidste par måneder.
Forskere hos VMware Carbon Black sporer truslen, kaldet BatLoader, og siger, at dens operatører bruger dropperen til at distribuere en række malware-værktøjer, herunder en banktrojaner, en informationstyver og Cobalt Strike post-exploit toolkit på offersystemer. Trusselsaktørens taktik har været at hoste malwaren på kompromitterede websteder og lokke brugere til disse websteder ved hjælp af søgemaskineoptimering (SEO) forgiftningsmetoder.
At leve af jorden
BatLoader er stærkt afhængig af batch- og PowerShell-scripts for at få et indledende fodfæste på en offermaskine og downloade anden malware til den. Dette har gjort kampagnen svært at opdage og blokere, især i de tidlige stadier, sagde analytikere fra VMware Carbon Blacks managed detection and response (MDR) team i en rapport udgivet den 14. november.
VMware sagde, at deres Carbon Black MDR-team havde observeret 43 vellykkede infektioner i de sidste 90 dage, foruden adskillige andre mislykkede forsøg, hvor et offer downloadede den indledende infektionsfil, men ikke udførte den. Ni af ofrene var organisationer i erhvervsservicesektoren, syv var finansielle servicevirksomheder, og fem var i fremstillingssektoren. Andre ofre omfattede organisationer i uddannelses-, detail-, it- og sundhedssektoren.
Den 9. november sagde eSentire, at dets trusselsjagthold havde observeret BatLoaders operatør lokke ofre til websteder, der forklædte sig som downloadsider for populær forretningssoftware som LogMeIn, Zoom, TeamViewer og AnyDesk. Trusselsaktøren distribuerede links til disse websteder via annoncer, der viste sig fremtrædende i søgemaskinens resultater når brugere søgte efter nogen af disse softwareprodukter.
Sikkerhedsleverandøren sagde, at en eSentire-kunde i slutningen af oktober ankom til en falsk LogMeIn-downloadside og downloadede et Windows-installationsprogram, der blandt andet profilerer systemet og bruger oplysningerne til at hente en anden trins nyttelast.
"Det, der gør BatLoader interessant, er, at den har indbygget logik, der afgør, om ofrets computer er en personlig computer eller en virksomhedscomputer," siger Keegan Keplinger, forsknings- og rapporteringsleder hos eSentires TRU-forskningsteam. "Den dropper derefter den type malware, der passer til situationen."
Selektiv levering af nyttelast
For eksempel, hvis BatLoader rammer en personlig computer, downloader den Ursnif bank malware og Vidar information stjæleren. Hvis den rammer en domæneforbundet computer eller en virksomhedscomputer, downloader den Cobalt Strike og Syncro fjernovervågnings- og administrationsværktøjet, foruden banktrojaneren og informationstyveren.
"Hvis BatLoader lander på en personlig computer, vil den fortsætte med svindel, infotyveri og bankbaserede nyttelaster som Ursnif," siger Keegan. "Hvis BatLoader opdager, at det er i et organisatorisk miljø, vil det fortsætte med indtrængningsværktøjer som Cobalt Strike og Syncro."
Keegan siger, at eSentire har observeret "en masse" af de seneste cyberangreb, der involverer BatLoader. De fleste af angrebene er opportunistiske og rammer alle, der leder efter pålidelige og populære gratis softwareværktøjer.
"For at komme foran organisationer udnytter BatLoader forgiftede annoncer, så når medarbejdere leder efter pålidelig gratis software, som LogMeIn og Zoom, lander de i stedet på websteder, der kontrolleres af angribere, og leverer BatLoader."
Overlapper med Conti, ZLoader
VMware Carbon Black sagde, at selvom der er flere aspekter af BatLoader-kampagnen, der er unikke, er der også flere egenskaber ved angrebskæden, der har en lighed med Conti ransomware operation.
Overlapningerne omfatter en IP-adresse, som Conti-gruppen brugte i en kampagne, der udnyttede Log4j-sårbarheden, og brugen af et fjernstyringsværktøj kaldet Atera, som Conti har brugt i tidligere operationer.
Udover lighederne med Conti har BatLoader også flere overlap med Zloader, en banktrojaner Det ser ud til at stammer fra Zeus-banktrojaneren fra begyndelsen af 2000'erne, sagde sikkerhedsleverandøren. De største ligheder der omfatter brugen af SEO-forgiftning til at lokke ofre til malware-ladede websteder, brugen af Windows Installer til at etablere et indledende fodfæste og brugen af PowerShell, batch-scripts og andre native OS-binære filer under angrebskæden.
Mandiant var den første til at rapportere om BatLoader. I et blogindlæg i februar rapporterede sikkerhedsleverandøren, at han observerede en trusselsaktør ved at bruge temaer "gratis produktivitetsapps-installation" og "gratis softwareudviklingsværktøj-installation" som SEO-nøgleord for at lokke brugere til at downloade websteder.
"Dette indledende BatLoader-kompromis var begyndelsen af en flertrins infektionskæde som giver angriberne fodfæste inde i målorganisationen,” sagde Mandiant. Angriberne brugte hvert trin til at opsætte den næste fase af angrebskæden ved hjælp af værktøjer som PowerShell, Msiexec.exe og Mshta.exe for at undgå opdagelse.
