Un nouveau chargeur de logiciels malveillants dangereux doté de fonctionnalités permettant de déterminer s'il s'agit d'un système d'entreprise ou d'un ordinateur personnel a commencé à infecter rapidement les systèmes du monde entier au cours des derniers mois.
Les chercheurs de VMware Carbon Black suivent la menace, surnommée BatLoader, et affirment que ses opérateurs utilisent le compte-gouttes pour distribuer une variété d'outils malveillants, notamment un cheval de Troie bancaire, un voleur d'informations et la boîte à outils post-exploit Cobalt Strike sur les systèmes victimes. La tactique de l'acteur de la menace a été d'héberger le logiciel malveillant sur des sites Web compromis et d'attirer les utilisateurs vers ces sites en utilisant des méthodes d'empoisonnement de l'optimisation des moteurs de recherche (SEO).
Vivre de la terre
BatLoader s'appuie fortement sur les scripts batch et PowerShell pour prendre pied sur une machine victime et pour y télécharger d'autres logiciels malveillants. Cela a fait la campagne difficile à détecter et à bloquer, en particulier dans les premières étapes, ont déclaré les analystes de l'équipe de détection et de réponse gérées (MDR) de VMware Carbon Black dans un rapport publié le 14 novembre.
VMware a déclaré que son équipe Carbon Black MDR avait observé 43 infections réussies au cours des 90 derniers jours, en plus de nombreuses autres tentatives infructueuses où une victime avait téléchargé le fichier d'infection initial mais ne l'avait pas exécuté. Neuf des victimes étaient des organisations du secteur des services aux entreprises, sept étaient des sociétés de services financiers et cinq étaient dans le secteur manufacturier. Parmi les autres victimes figuraient des organisations des secteurs de l'éducation, de la vente au détail, de l'informatique et de la santé.
Le 9 novembre, eSentire a déclaré que son équipe de chasse aux menaces avait observé l'opérateur de BatLoader attirer des victimes vers des sites Web se faisant passer pour des pages de téléchargement de logiciels commerciaux populaires tels que LogMeIn, Zoom, TeamViewer et AnyDesk. L'auteur de la menace a distribué des liens vers ces sites Web via des publicités qui figuraient en bonne place dans les résultats des moteurs de recherche lorsque les utilisateurs recherchaient l'un de ces produits logiciels.
Le fournisseur de sécurité a déclaré que lors d'un incident fin octobre, un client d'eSentire est arrivé sur une fausse page de téléchargement de LogMeIn et a téléchargé un programme d'installation Windows qui, entre autres, profile le système et utilise les informations pour récupérer une charge utile de deuxième étape.
"Ce qui rend BatLoader intéressant, c'est qu'il intègre une logique qui détermine si l'ordinateur victime est un ordinateur personnel ou un ordinateur d'entreprise", déclare Keegan Keplinger, responsable de la recherche et des rapports au sein de l'équipe de recherche TRU d'eSentire. "Il supprime ensuite le type de logiciel malveillant approprié à la situation."
Livraison sélective de la charge utile
Par exemple, si BatLoader touche un ordinateur personnel, il télécharge le malware bancaire Ursnif et le voleur d'informations Vidar. S'il rencontre un ordinateur appartenant à un domaine ou à une entreprise, il télécharge Cobalt Strike et l'outil de surveillance et de gestion à distance Syncro, en plus du cheval de Troie bancaire et du voleur d'informations.
"Si BatLoader atterrit sur un ordinateur personnel, il procédera à la fraude, au vol d'informations et aux charges utiles bancaires comme Ursnif", déclare Keegan. "Si BatLoader détecte qu'il se trouve dans un environnement organisationnel, il procédera avec des outils d'intrusion comme Cobalt Strike et Syncro."
Keegan dit qu'eSentire a observé "beaucoup" de cyberattaques récentes impliquant BatLoader. La plupart des attaques sont opportunistes et frappent tous ceux qui recherchent des outils logiciels gratuits fiables et populaires.
"Pour se présenter devant les organisations, BatLoader exploite des publicités empoisonnées afin que lorsque les employés recherchent des logiciels gratuits de confiance, comme LogMeIn et Zoom, ils atterrissent à la place sur des sites contrôlés par des attaquants, fournissant BatLoader."
Chevauchement avec Conti, ZLoader
VMware Carbon Black a déclaré que bien que plusieurs aspects de la campagne BatLoader soient uniques, il existe également plusieurs attributs de la chaîne d'attaque qui ressemblent à la Opération de rançongiciel Conti.
Les chevauchements incluent une adresse IP que le groupe Conti a utilisée dans une campagne exploitant la vulnérabilité Log4j, et l'utilisation d'un outil de gestion à distance appelé Atera que Conti a utilisé dans des opérations précédentes.
En plus des similitudes avec Conti, BatLoader a également plusieurs chevauchements avec Zloader, un cheval de Troie bancaire qui semble dérivé du cheval de Troie bancaire Zeus du début des années 2000, a déclaré le fournisseur de sécurité. Les plus grandes similitudes incluent l'utilisation de l'empoisonnement SEO pour attirer les victimes vers des sites Web chargés de logiciels malveillants, l'utilisation de Windows Installer pour établir un pied initial et l'utilisation de PowerShell, de scripts batch et d'autres binaires natifs du système d'exploitation pendant la chaîne d'attaque.
Mandiant a été le premier à rendre compte de BatLoader. Dans un article de blog en février, le fournisseur de sécurité a signalé avoir observé un acteur malveillant utilisant les thèmes "installation d'applications de productivité gratuites" et "installation d'outils de développement de logiciels gratuits" comme mots-clés SEO pour attirer les utilisateurs vers des sites de téléchargement.
"Ce compromis initial de BatLoader était le début d'une chaîne d'infection à plusieurs étapes qui permet aux attaquants de prendre pied à l'intérieur de l'organisation cible », a déclaré Mandiant. Les attaquants ont utilisé chaque étape pour configurer la phase suivante de la chaîne d'attaque à l'aide d'outils tels que PowerShell, Msiexec.exe et Mshta.exe pour échapper à la détection.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
