Новости Новое ВПО BatLoader: продолжение старых кампаний или создание нового вируса?

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022

BatLoader распространяется через пиратские приложения и имеет сходство с Conti и Zloader.​


bmllrvask97ik4o7he67dp03o8ja0n36.png


Исследователи из Для просмотра ссылки Войди или Зарегистрируйся Carbon Black Для просмотра ссылки Войди или Зарегистрируйся , операторы которого используют дроппер для распространения банковского трояна, инфостилера и Для просмотра ссылки Войди или Зарегистрируйся . ВПО размещается на скомпрометированных веб-сайтах, на которые жертвы попадают с помощью метода отравления SEO ( Для просмотра ссылки Войди или Зарегистрируйся ).

BatLoader использует сценарии PowerShell, чтобы закрепиться на устройстве и загрузить на него другие вредоносные программы. Именно это затруднило обнаружение кампании, особенно на ранних стадиях. Эксперты зафиксировали 43 успешных заражения за последние 90 дней. Вот несколько примеров жертв кампании:

  • 9 жертв – организации в сфере бизнес-услуг;
  • 7 – финансовые компании;
  • 5 – производственные организации.

Другими жертвами стали организации в сфере образования, розничной торговли, IT-технологий и здравоохранения.

9 ноября eSentire обнаружила, что оператор BatLoader заманивал жертв на веб-сайты, маскирующиеся под страницы загрузки популярного ПО для бизнеса, такого как LogMeIn, Zoom, TeamViewer и AnyDesk. Злоумышленник распространял ссылки на эти веб-сайты через рекламу, которая появлялась на видном месте в результатах поиска, когда пользователь искал одну из этих программ.

На сайте пользователь загружает установщик Windows, который, среди прочего, профилирует систему и использует информацию для получения полезной нагрузки второго этапа.

Примечательно то, что BatLoader сам определяет, является ли целевой компьютер персональным или корпоративным компьютером. Затем он загружает тип вредоносного ПО, соответствующий определённому устройству.

Например, если BatLoader попадает на персональный компьютер, он загружает Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Если он попадает на корпоративный компьютер, он загружает Cobalt Strike и инструмент удаленного управления Syncro в дополнение к банковскому трояну и похитителю информации.

В VMware Carbon Black заявили, что у кампании BatLoader несколько атрибутов цепочки атак совпадают с операцией группировки Conti - IP-адрес и инструмент удаленного управления Для просмотра ссылки Войди или Зарегистрируйся , которые использовала группа Conti в своих кампаниях.

BatLoader также имеет несколько совпадений с банковским трояном Zloader, а именно использование отравления SEO и установщика Windows для создания первоначального плацдарма, а также использование сценариев PowerShell и других двоичных файлов ОС во время атаки.
 
Источник новости
https://www.securitylab.ru/news/534790.php

Похожие темы