Pemuat malware baru yang berbahaya dengan fitur untuk menentukan apakah itu pada sistem bisnis atau komputer pribadi telah mulai menginfeksi sistem dengan cepat di seluruh dunia selama beberapa bulan terakhir.
Para peneliti di VMware Carbon Black melacak ancaman tersebut, yang dijuluki BatLoader, dan mengatakan operatornya menggunakan dropper untuk mendistribusikan berbagai alat malware termasuk Trojan perbankan, pencuri informasi, dan toolkit pasca-eksploitasi Cobalt Strike pada sistem korban. Taktik aktor ancaman adalah meng-host malware di situs web yang disusupi dan memikat pengguna ke situs tersebut menggunakan metode keracunan optimasi mesin pencari (SEO).
Hidup dari Tanah
BatLoader sangat bergantung pada skrip batch dan PowerShell untuk mendapatkan pijakan awal pada mesin korban dan mengunduh malware lain ke dalamnya. Ini telah membuat kampanye sulit dideteksi dan diblokir, terutama pada tahap awal, kata analis dari tim Managed Detection and Response (MDR) VMware Carbon Black dalam sebuah laporan yang dirilis pada 14 November.
VMware mengatakan tim Carbon Black MDR-nya telah mengamati 43 infeksi yang berhasil dalam 90 hari terakhir, di samping banyak upaya gagal lainnya di mana seorang korban mengunduh file infeksi awal tetapi tidak menjalankannya. Sembilan korban adalah organisasi di sektor jasa bisnis, tujuh perusahaan jasa keuangan, dan lima di bidang manufaktur. Korban lainnya termasuk organisasi di sektor pendidikan, ritel, TI, dan kesehatan.
Pada 9 November, eSentire mengatakan tim pemburu ancamannya telah mengamati operator BatLoader memikat korban ke situs web yang menyamar sebagai halaman unduhan untuk perangkat lunak bisnis populer seperti LogMeIn, Zoom, TeamViewer, dan AnyDesk. Pelaku ancaman mendistribusikan tautan ke situs web ini melalui iklan yang muncul secara mencolok di hasil mesin telusur saat pengguna menelusuri salah satu produk perangkat lunak ini.
Vendor keamanan mengatakan bahwa dalam satu insiden akhir Oktober, pelanggan eSentire tiba di halaman unduhan LogMeIn palsu dan mengunduh penginstal Windows yang, antara lain, membuat profil sistem dan menggunakan informasi tersebut untuk mengambil muatan tahap kedua.
“Apa yang membuat BatLoader menarik adalah bahwa ia memiliki logika yang terpasang di dalamnya yang menentukan apakah komputer korban adalah komputer pribadi atau komputer perusahaan,” kata Keegan Keplinger, pemimpin penelitian dan pelaporan dengan tim peneliti TRU eSentire. “Itu kemudian menjatuhkan jenis malware yang sesuai untuk situasi tersebut.”
Pengiriman Muatan Selektif
Misalnya, jika BatLoader mengenai komputer pribadi, ia mengunduh malware perbankan Ursnif dan pencuri informasi Vidar. Jika mengenai komputer yang bergabung dengan domain atau komputer perusahaan, ia mengunduh Cobalt Strike dan alat pemantauan dan manajemen jarak jauh Syncro, selain Trojan perbankan dan pencuri informasi.
“Jika BatLoader mendarat di komputer pribadi, itu akan berlanjut dengan penipuan, pencurian info, dan muatan berbasis perbankan seperti Ursnif,” kata Keegan. “Jika BatLoader mendeteksi bahwa itu ada di lingkungan organisasi, itu akan dilanjutkan dengan alat intrusi seperti Cobalt Strike dan Syncro.”
Keegan mengatakan eSentire telah mengamati "banyak" serangan siber baru-baru ini yang melibatkan BatLoader. Sebagian besar serangan bersifat oportunistik dan menyerang siapa saja yang mencari perangkat lunak gratis yang tepercaya dan populer.
“Untuk tampil di depan organisasi, BatLoader memanfaatkan iklan beracun sehingga ketika karyawan mencari perangkat lunak gratis tepercaya, seperti LogMeIn dan Zoom, mereka malah mendarat di situs yang dikendalikan oleh penyerang, memberikan BatLoader.”
Tumpang Tindih Dengan Conti, ZLoader
VMware Carbon Black mengatakan bahwa meskipun ada beberapa aspek dari kampanye BatLoader yang unik, ada juga beberapa atribut dari rantai serangan yang memiliki kemiripan dengan Operasi conti ransomware.
Tumpang tindih termasuk alamat IP yang digunakan grup Conti dalam kampanye yang memanfaatkan kerentanan Log4j, dan penggunaan alat manajemen jarak jauh yang disebut Atera yang telah digunakan Conti dalam operasi sebelumnya.
Selain kesamaan dengan Conti, BatLoader juga memiliki beberapa tumpang tindih dengan Zloader, Trojan perbankan yang muncul berasal dari Trojan perbankan Zeus pada awal 2000-an, kata vendor keamanan. Kesamaan terbesar di sana termasuk penggunaan keracunan SEO untuk memikat korban ke situs web yang sarat malware, penggunaan Penginstal Windows untuk membangun pijakan awal dan penggunaan PowerShell, skrip batch, dan binari OS asli lainnya selama rantai serangan.
Mandiant adalah yang pertama melaporkan BatLoader. Dalam sebuah posting blog pada bulan Februari, vendor keamanan melaporkan mengamati aktor ancaman menggunakan tema “instalasi aplikasi produktivitas gratis” dan “instalasi alat pengembangan perangkat lunak gratis” sebagai kata kunci SEO untuk memikat pengguna agar mendownload situs.
“Kompromi BatLoader awal ini adalah awal dari rantai infeksi multi-tahap yang memberi penyerang pijakan di dalam organisasi target, ”kata Mandiant. Penyerang menggunakan setiap tahap untuk menyiapkan fase berikutnya dari rantai serangan menggunakan alat seperti PowerShell, Msiexec.exe, dan Mshta.exe untuk menghindari deteksi.
