Los investigadores hacen sonar la alarma sobre el peligroso cuentagotas de malware BatLoader

Un nuevo y peligroso cargador de malware con funciones para determinar si se encuentra en un sistema empresarial o en una computadora personal ha comenzado a infectar rápidamente sistemas en todo el mundo en los últimos meses.

Los investigadores de VMware Carbon Black están rastreando la amenaza, denominada BatLoader, y dicen que sus operadores están utilizando el cuentagotas para distribuir una variedad de herramientas de malware, incluido un troyano bancario, un ladrón de información y el kit de herramientas posterior a la explotación Cobalt Strike en los sistemas de las víctimas. La táctica del actor de amenazas ha sido alojar el malware en sitios web comprometidos y atraer a los usuarios a esos sitios utilizando métodos de envenenamiento de optimización de motores de búsqueda (SEO).

Viviendo de la tierra

BatLoader se basa en gran medida en secuencias de comandos por lotes y PowerShell para obtener un punto de apoyo inicial en una máquina víctima y descargar otro malware en ella. Esto ha hecho que la campaña difícil de detectar y bloquear, especialmente en las primeras etapas, dijeron los analistas del equipo de detección y respuesta administrada (MDR) de VMware Carbon Black en un informe publicado el 14 de noviembre.

VMware dijo que su equipo Carbon Black MDR había observado 43 infecciones exitosas en los últimos 90 días, además de muchos otros intentos fallidos en los que una víctima descargó el archivo de infección inicial pero no lo ejecutó. Nueve de las víctimas eran organizaciones del sector de servicios empresariales, siete eran empresas de servicios financieros y cinco del sector manufacturero. Otras víctimas incluyeron organizaciones en los sectores de educación, comercio minorista, TI y atención médica.

El 9 de noviembre, eSentire dijo que su equipo de caza de amenazas había observado que el operador de BatLoader atraía a las víctimas a sitios web que se hacían pasar por páginas de descarga de software comercial popular como LogMeIn, Zoom, TeamViewer y AnyDesk. El actor de amenazas distribuyó enlaces a estos sitios web. a través de anuncios que aparecían de forma destacada en los resultados de los motores de búsqueda cuando los usuarios buscaron cualquiera de estos productos de software.

El proveedor de seguridad dijo que en un incidente a fines de octubre, un cliente de eSentire llegó a una página de descarga falsa de LogMeIn y descargó un instalador de Windows que, entre otras cosas, perfila el sistema y usa la información para recuperar una carga útil de segunda etapa.

“Lo que hace que BatLoader sea interesante es que tiene una lógica incorporada que determina si la computadora de la víctima es una computadora personal o una computadora corporativa”, dice Keegan Keplinger, líder de investigación e informes del equipo de investigación TRU de eSentire. “Luego deja caer el tipo de malware apropiado para la situación”.

Entrega selectiva de carga útil

Por ejemplo, si BatLoader golpea una computadora personal, descarga el malware bancario Ursnif y el ladrón de información Vidar. Si llega a una computadora corporativa o unida a un dominio, descarga Cobalt Strike y la herramienta de administración y monitoreo remoto Syncro, además del troyano bancario y el ladrón de información.

“Si BatLoader aterriza en una computadora personal, procederá con fraude, robo de información y cargas útiles basadas en la banca como Ursnif”, dice Keegan. “Si BatLoader detecta que está en un entorno organizacional, procederá con herramientas de intrusión como Cobalt Strike y Syncro”.

Keegan dice que eSentire ha observado "muchos" ataques cibernéticos recientes que involucran a BatLoader. La mayoría de los ataques son oportunistas y golpean a cualquiera que busque herramientas de software libre confiables y populares. 

“Para ponerse al frente de las organizaciones, BatLoader aprovecha los anuncios envenenados para que cuando los empleados busquen software gratuito de confianza, como LogMeIn y Zoom, aterricen en sitios controlados por atacantes y entreguen BatLoader”.

Se superpone con Conti, ZLoader

VMware Carbon Black dijo que si bien hay varios aspectos de la campaña BatLoader que son únicos, también hay varios atributos de la cadena de ataque que tienen un parecido con el Operación ransomware Conti. 

Las superposiciones incluyen una dirección IP que el grupo Conti usó en una campaña que aprovechó la vulnerabilidad Log4j y el uso de una herramienta de administración remota llamada Atera que Conti usó en operaciones anteriores. 

Además de las similitudes con Conti, BatLoader también tiene varias superposiciones con Zloader, un troyano bancario que parece derivado del troyano bancario Zeus de principios de la década de 2000, dijo el proveedor de seguridad. Las mayores similitudes incluyen el uso de envenenamiento de SEO para atraer a las víctimas a sitios web cargados de malware, el uso de Windows Installer para establecer un punto de apoyo inicial y el uso de PowerShell, scripts por lotes y otros binarios nativos del sistema operativo durante la cadena de ataque.

Mandiant fue el primero en informar sobre BatLoader. En una publicación de blog en febrero, el proveedor de seguridad informó haber observado a un actor de amenazas que usaba temas de "instalación de aplicaciones de productividad gratuitas" e "instalación de herramientas de desarrollo de software gratuitas" como palabras clave de SEO para atraer a los usuarios a descargar sitios. 

“Este compromiso inicial con BatLoader fue el comienzo de una cadena de infección de múltiples etapas eso proporciona a los atacantes un punto de apoyo dentro de la organización objetivo”, dijo Mandiant. Los atacantes utilizaron cada etapa para configurar la siguiente fase de la cadena de ataque utilizando herramientas como PowerShell, Msiexec.exe y Mshta.exe para evadir la detección.