Um novo carregador de malware perigoso com recursos para determinar se está em um sistema comercial ou em um computador pessoal começou a infectar rapidamente sistemas em todo o mundo nos últimos meses.
Pesquisadores da VMware Carbon Black estão rastreando a ameaça, apelidada de BatLoader, e dizem que seus operadores estão usando o conta-gotas para distribuir uma variedade de ferramentas de malware, incluindo um Trojan bancário, um ladrão de informações e o kit de ferramentas pós-exploração Cobalt Strike nos sistemas das vítimas. A tática do agente da ameaça tem sido hospedar o malware em sites comprometidos e atrair usuários para esses sites usando métodos de envenenamento por otimização de mecanismo de busca (SEO).
Vivendo da Terra
O BatLoader depende muito de scripts em lote e do PowerShell para obter uma posição inicial na máquina da vítima e baixar outros malwares nela. Isso tornou a campanha difícil de detectar e bloquear, especialmente nos estágios iniciais, disseram analistas da equipe gerenciada de detecção e resposta (MDR) do VMware Carbon Black em um relatório divulgado em 14 de novembro.
A VMware disse que sua equipe de Carbon Black MDR observou 43 infecções bem-sucedidas nos últimos 90 dias, além de várias outras tentativas malsucedidas em que uma vítima baixou o arquivo de infecção inicial, mas não o executou. Nove das vítimas eram organizações do setor de serviços empresariais, sete eram empresas de serviços financeiros e cinco eram do setor manufatureiro. Outras vítimas incluíram organizações nos setores de educação, varejo, TI e saúde.
Em 9 de novembro, a eSentire disse que sua equipe de caça a ameaças observou o operador do BatLoader atraindo vítimas para sites disfarçados de páginas de download de software comercial popular, como LogMeIn, Zoom, TeamViewer e AnyDesk. O agente da ameaça distribuiu links para esses sites por meio de anúncios que apareceram com destaque nos resultados do mecanismo de pesquisa quando os usuários pesquisaram qualquer um desses produtos de software.
O fornecedor de segurança disse que em um incidente no final de outubro, um cliente eSentire chegou a uma página falsa de download do LogMeIn e baixou um instalador do Windows que, entre outras coisas, traça o perfil do sistema e usa as informações para recuperar uma carga útil de segundo estágio.
“O que torna o BatLoader interessante é que ele possui uma lógica incorporada que determina se o computador da vítima é um computador pessoal ou corporativo”, diz Keegan Keplinger, líder de pesquisa e relatórios da equipe de pesquisa TRU da eSentire. “Em seguida, descarta o tipo de malware apropriado para a situação.”
Entrega seletiva de carga útil
Por exemplo, se o BatLoader atingir um computador pessoal, ele baixa o malware bancário Ursnif e o ladrão de informações Vidar. Se atingir um computador corporativo ou associado a um domínio, ele baixa o Cobalt Strike e a ferramenta de gerenciamento e monitoramento remoto Syncro, além do Trojan bancário e do ladrão de informações.
“Se o BatLoader pousar em um computador pessoal, ele continuará com fraude, roubo de informações e cargas úteis baseadas em bancos como Ursnif”, diz Keegan. “Se o BatLoader detectar que está em um ambiente organizacional, ele prosseguirá com ferramentas de invasão como Cobalt Strike e Syncro.”
Keegan diz que o eSentire observou “muitos” ataques cibernéticos recentes envolvendo o BatLoader. A maioria dos ataques são oportunistas e atingem qualquer pessoa que esteja procurando por ferramentas de software livre confiáveis e populares.
“Para chegar à frente das organizações, o BatLoader utiliza anúncios envenenados para que, quando os funcionários procurarem software gratuito confiável, como LogMeIn e Zoom, eles cheguem a sites controlados por invasores, entregando o BatLoader.”
Sobrepõe-se com Conti, ZLoader
VMware Carbon Black disse que, embora existam vários aspectos da campanha BatLoader que são únicos, também existem vários atributos da cadeia de ataque que se assemelham ao Operação de ransomware Conti.
As sobreposições incluem um endereço IP que o grupo Conti usou em uma campanha aproveitando a vulnerabilidade Log4j e o uso de uma ferramenta de gerenciamento remoto chamada Atera que a Conti usou em operações anteriores.
Além das semelhanças com o Conti, o BatLoader também possui várias sobreposições com Zloader, um Trojan bancário que parece derivado do Trojan bancário Zeus do início dos anos 2000, disse o fornecedor de segurança. As maiores semelhanças incluem o uso de envenenamento de SEO para atrair vítimas para sites carregados de malware, o uso do Windows Installer para estabelecer uma posição inicial e o uso de PowerShell, scripts em lote e outros binários de sistema operacional nativo durante a cadeia de ataque.
A Mandiant foi a primeira a relatar o BatLoader. Em uma postagem no blog em fevereiro, o fornecedor de segurança relatou ter observado um agente de ameaças usando os temas “instalação gratuita de aplicativos de produtividade” e “instalação de ferramentas de desenvolvimento de software gratuitas” como palavras-chave de SEO para atrair usuários para sites de download.
“Esse compromisso inicial do BatLoader foi o início de uma cadeia de infecção em vários estágios que fornece aos invasores uma base de apoio dentro da organização-alvo”, disse Mandiant. Os invasores usaram todos os estágios para configurar a próxima fase da cadeia de ataque usando ferramentas como PowerShell, Msiexec.exe e Mshta.exe para evitar a detecção.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
