Ein gefährlicher neuer Malware-Loader mit Funktionen zur Bestimmung, ob er sich auf einem Geschäftssystem oder einem Personal Computer befindet, hat in den letzten Monaten damit begonnen, Systeme weltweit schnell zu infizieren.
Forscher von VMware Carbon Black verfolgen die als BatLoader bezeichnete Bedrohung und sagen, dass ihre Betreiber den Dropper verwenden, um eine Vielzahl von Malware-Tools zu verteilen, darunter einen Banking-Trojaner, einen Informationsdieb und das Post-Exploit-Toolkit Cobalt Strike auf Opfersystemen. Die Taktik des Angreifers bestand darin, die Malware auf kompromittierten Websites zu hosten und Benutzer mit Methoden der Suchmaschinenoptimierung (SEO) auf diese Websites zu locken.
Vom Land leben
BatLoader verlässt sich stark auf Batch- und PowerShell-Skripte, um auf einem Opfercomputer Fuß zu fassen und andere Malware darauf herunterzuladen. Das hat die Kampagne gemacht schwer zu erkennen und zu blockieren, insbesondere in der Anfangsphase, sagten Analysten des MDR-Teams (Managed Detection and Response) von VMware Carbon Black in einem am 14. November veröffentlichten Bericht.
VMware sagte, sein Carbon Black MDR-Team habe in den letzten 43 Tagen 90 erfolgreiche Infektionen beobachtet, zusätzlich zu zahlreichen anderen erfolglosen Versuchen, bei denen ein Opfer die ursprüngliche Infektionsdatei heruntergeladen, aber nicht ausgeführt habe. Neun der Opfer waren Organisationen im Unternehmensdienstleistungssektor, sieben waren Finanzdienstleistungsunternehmen und fünf waren im verarbeitenden Gewerbe tätig. Andere Opfer waren Organisationen in den Bereichen Bildung, Einzelhandel, IT und Gesundheitswesen.
Am 9. November gab eSentire bekannt, dass sein Bedrohungssuchteam beobachtet hatte, wie der Betreiber von BatLoader Opfer auf Websites lockte, die sich als Downloadseiten für beliebte Unternehmenssoftware wie LogMeIn, Zoom, TeamViewer und AnyDesk tarnten. Der Angreifer hat Links zu diesen Websites verbreitet über Anzeigen, die prominent in den Suchmaschinenergebnissen auftauchten wenn Benutzer nach einem dieser Softwareprodukte gesucht haben.
Der Sicherheitsanbieter sagte, dass bei einem Vorfall Ende Oktober ein eSentire-Kunde auf eine gefälschte LogMeIn-Downloadseite gelangte und ein Windows-Installationsprogramm herunterlud, das unter anderem das System profiliert und die Informationen verwendet, um eine Nutzlast der zweiten Stufe abzurufen.
„Was BatLoader interessant macht, ist die eingebaute Logik, die feststellt, ob der Computer des Opfers ein Personal Computer oder ein Unternehmenscomputer ist“, sagt Keegan Keplinger, Forschungs- und Berichtsleiter beim TRU-Forschungsteam von eSentire. „Dann löscht es die Art von Malware, die für die Situation geeignet ist.“
Selektive Nutzlastlieferung
Wenn BatLoader beispielsweise auf einen PC trifft, lädt es Ursnif-Banking-Malware und den Vidar-Informationsdieb herunter. Trifft er einen in eine Domäne eingebundenen oder einen Unternehmenscomputer, lädt er neben dem Banking-Trojaner und dem Informationsdiebstahl auch Cobalt Strike und das Fernüberwachungs- und -verwaltungstool Syncro herunter.
„Wenn BatLoader auf einem PC landet, wird es mit Betrug, Infosteal und bankbasierten Payloads wie Ursnif fortfahren“, sagt Keegan. „Wenn BatLoader feststellt, dass es sich in einer Unternehmensumgebung befindet, fährt es mit Angriffstools wie Cobalt Strike und Syncro fort.“
Laut Keegan hat eSentire „viele“ Cyberangriffe der letzten Zeit mit BatLoader beobachtet. Die meisten Angriffe sind opportunistisch und treffen jeden, der nach vertrauenswürdigen und beliebten kostenlosen Software-Tools sucht.
„Um Unternehmen zu erreichen, nutzt BatLoader vergiftete Anzeigen, sodass Mitarbeiter, wenn sie nach vertrauenswürdiger kostenloser Software wie LogMeIn und Zoom suchen, stattdessen auf Websites landen, die von Angreifern kontrolliert werden und BatLoader bereitstellen.“
Überschneidungen mit Conti, ZLoader
VMware Carbon Black sagte, dass es zwar mehrere Aspekte der BatLoader-Kampagne gibt, die einzigartig sind, es aber auch mehrere Attribute der Angriffskette gibt, die Ähnlichkeit mit der haben Conti-Ransomware-Operation.
Zu den Überschneidungen gehören eine IP-Adresse, die die Conti-Gruppe in einer Kampagne zur Ausnutzung der Log4j-Schwachstelle verwendet hat, und die Verwendung eines Remote-Management-Tools namens Atera, das Conti in früheren Operationen verwendet hat.
Neben den Ähnlichkeiten mit Conti hat BatLoader auch einige Überschneidungen mit Zloader, ein Banking-Trojaner der anscheinend vom Banking-Trojaner Zeus aus den frühen 2000er Jahren stammt, sagte der Sicherheitsanbieter. Zu den größten Ähnlichkeiten gehören die Verwendung von SEO-Poisoning, um Opfer auf mit Malware beladene Websites zu locken, die Verwendung von Windows Installer, um einen ersten Fuß zu fassen, und die Verwendung von PowerShell, Batch-Skripten und anderen nativen Betriebssystem-Binärdateien während der Angriffskette.
Mandiant war der erste, der über BatLoader berichtete. In einem Blogbeitrag im Februar berichtete der Sicherheitsanbieter, dass er einen Bedrohungsakteur beobachtet hat, der die Themen „Installation kostenloser Produktivitäts-Apps“ und „Installation kostenloser Software-Entwicklungstools“ als SEO-Schlüsselwörter verwendet, um Benutzer zum Herunterladen von Websites zu verleiten.
„Dieser anfängliche BatLoader-Kompromiss war der Beginn einer mehrstufigen Infektionskette das verschafft den Angreifern einen Halt innerhalb der Zielorganisation“, sagte Mandiant. Die Angreifer nutzten jede Stufe, um die nächste Phase der Angriffskette mit Tools wie PowerShell, Msiexec.exe und Mshta.exe einzurichten, um der Erkennung zu entgehen.
