Загрузчик вредоносного ПО, известный как BATLOADER, был замечен в использовании рекламы Google Ads для доставки вторичной полезной нагрузки, такой как Vidar Stealer и Ursnif.
По данным компании eSentire, специализирующейся на кибербезопасности, вредоносная реклама используется для подделки широкого спектра законных приложений и сервисов, таких как Adobe, OpenAPI's ChatGPT, Spotify, Tableau и Zoom.
BATLOADER, как следует из названия, является загрузчиком, который отвечает за распространение вредоносных программ следующего этапа, таких как программы для кражи информации, банковские вредоносные программы, Cobalt Strike и даже шифровальщиков.
Одной из ключевых особенностей работы BATLOADER является использование тактики пародирования программного обеспечения для доставки вредоносного ПО.
Это достигается путем создания похожих веб-сайтов, на которых размещаются установочные файлы Windows, маскирующиеся под легитимные приложения, чтобы запустить последовательность заражения, когда пользователь, ищущий программное обеспечение, нажимает на мошенническую рекламу на странице результатов поиска Google.
Файлы установщика MSI при запуске выполняют сценарии Python, содержащие полезную нагрузку BATLOADER для получения вредоносного ПО следующего этапа с удаленного сервера.
Этот способ действий несколько отличается от предыдущих цепочек атак, наблюдавшихся в декабре 2022 года, когда пакеты установщиков MSI использовались для запуска сценариев PowerShell для загрузки вредоносного ПО.
В других образцах BATLOADER, проанализированных eSentire, также были обнаружены дополнительные возможности, позволяющие вредоносному ПО устанавливать постоянный доступ к корпоративным сетям.
«С момента своего первого появления в 2022 году BATLOADER продолжает претерпевать изменения и совершенствоваться» - заявили в eSentire.
«BATLOADER нацелен на различные популярные приложения для выдачи себя за другого. Это не случайно, поскольку эти приложения часто встречаются в корпоративных сетях, а значит, они дают более ценные плацдармы для монетизации через мошенничество или перехват клавиатурного ввода».
Источник: https://thehackernews.com