Un nou încărcător de malware periculos, cu funcții pentru a determina dacă se află pe un sistem de afaceri sau pe un computer personal, a început să infecteze rapid sistemele din întreaga lume în ultimele luni.
Cercetătorii de la VMware Carbon Black urmăresc amenințarea, numită BatLoader, și spun că operatorii săi folosesc dropperul pentru a distribui o varietate de instrumente malware, inclusiv un troian bancar, un furt de informații și setul de instrumente post-exploatare Cobalt Strike pe sistemele victimelor. Tactica actorului amenințării a fost aceea de a găzdui malware-ul pe site-uri web compromise și de a atrage utilizatorii către acele site-uri folosind metode de otrăvire de optimizare a motoarelor de căutare (SEO).
Trăind din pământ
BatLoader se bazează în mare măsură pe scripturi batch și PowerShell pentru a obține o poziție inițială pe o mașină victimă și pentru a descărca alte programe malware pe aceasta. Aceasta a făcut campania greu de detectat și blocat, în special în etapele incipiente, analiștii din echipa de detectare și răspuns gestionat (MDR) a VMware Carbon Black au declarat într-un raport publicat pe 14 noiembrie.
VMware a declarat că echipa sa Carbon Black MDR a observat 43 de infecții cu succes în ultimele 90 de zile, pe lângă numeroase alte încercări nereușite în care o victimă a descărcat fișierul inițial de infecție, dar nu l-a executat. Nouă dintre victime erau organizații din sectorul serviciilor de afaceri, șapte companii de servicii financiare și cinci din producție. Alte victime au inclus organizații din sectoarele educației, comerțului cu amănuntul, IT și asistenței medicale.
Pe 9 noiembrie, eSentire a declarat că echipa sa de vânătoare de amenințări a observat că operatorul BatLoader atrage victimele pe site-uri web mascandu-se drept pagini de descărcare pentru software-ul de afaceri popular, cum ar fi LogMeIn, Zoom, TeamViewer și AnyDesk. Actorul amenințării a distribuit link-uri către aceste site-uri web prin reclame care au apărut în mod vizibil în rezultatele motoarelor de căutare atunci când utilizatorii au căutat oricare dintre aceste produse software.
Furnizorul de securitate a spus că într-un incident de la sfârșitul lunii octombrie, un client eSentire a ajuns la o pagină de descărcare LogMeIn falsă și a descărcat un program de instalare Windows care, printre altele, profilează sistemul și utilizează informațiile pentru a prelua o încărcătură utilă din a doua etapă.
„Ceea ce face ca BatLoader să fie interesant este că are o logică încorporată care determină dacă computerul victimei este un computer personal sau un computer corporativ”, spune Keegan Keplinger, responsabil de cercetare și raportare cu echipa de cercetare TRU a eSentire. „Apoi elimină tipul de malware potrivit pentru situație.”
Livrare selectivă a sarcinii utile
De exemplu, dacă BatLoader lovește un computer personal, acesta descarcă programe malware bancare Ursnif și furtul de informații Vidar. Dacă lovește un computer alăturat unui domeniu sau corporativ, descarcă Cobalt Strike și instrumentul de monitorizare și management de la distanță Syncro, pe lângă troianul bancar și furtul de informații.
„Dacă BatLoader aterizează pe un computer personal, va continua cu fraude, furt de informații și încărcături utile bazate pe banca, cum ar fi Ursnif”, spune Keegan. „Dacă BatLoader detectează că se află într-un mediu organizațional, va continua cu instrumente de intruziune precum Cobalt Strike și Syncro.”
Keegan spune că eSentire a observat „o mulțime” de atacuri cibernetice recente care implică BatLoader. Majoritatea atacurilor sunt oportuniste și lovesc pe oricine caută instrumente software gratuite de încredere și populare.
„Pentru a ajunge în fața organizațiilor, BatLoader folosește reclamele otrăvite, astfel încât atunci când angajații caută software gratuit de încredere, cum ar fi LogMeIn și Zoom, aterizează în schimb pe site-uri controlate de atacatori, oferind BatLoader.”
Se suprapune cu Conti, ZLoader
VMware Carbon Black a spus că, deși există mai multe aspecte ale campaniei BatLoader care sunt unice, există și câteva atribute ale lanțului de atac care au o asemănare cu Operațiunea de ransomware Conti.
Suprapunerile includ o adresă IP pe care grupul Conti a folosit-o într-o campanie care folosește vulnerabilitatea Log4j și utilizarea unui instrument de management de la distanță numit Atera pe care Conti l-a folosit în operațiunile anterioare.
Pe lângă asemănările cu Conti, BatLoader are și mai multe suprapuneri cu Zloader, un troian bancar care pare derivat din troianul bancar Zeus de la începutul anilor 2000, a spus furnizorul de securitate. Cele mai mari asemănări includ utilizarea otrăvirii SEO pentru a atrage victimele către site-uri web încărcate de malware, utilizarea Windows Installer pentru stabilirea unui punct de sprijin inițial și utilizarea PowerShell, script-uri batch și alte sisteme binare native ale sistemului de operare în timpul lanțului de atac.
Mandiant a fost primul care a raportat despre BatLoader. Într-o postare pe blog din februarie, furnizorul de securitate a raportat că a observat un actor de amenințare folosind teme de „instalare gratuită a aplicațiilor de productivitate” și „instalare gratuită a instrumentelor de dezvoltare software” ca cuvinte cheie SEO pentru a atrage utilizatorii să descarce site-uri.
„Acest compromis inițial cu BatLoader a fost începutul unui lanț de infecție în mai multe etape care oferă atacatorilor un punct de sprijin în interiorul organizației țintă”, a spus Mandiant. Atacatorii au folosit fiecare etapă pentru a configura următoarea fază a lanțului de atac folosind instrumente precum PowerShell, Msiexec.exe și Mshta.exe pentru a evita detectarea.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
