Μια έρευνα αποκάλυψε ότι το Batloader, ένα πρόγραμμα λήψης κακόβουλου λογισμικού, εκμεταλλεύεται τα Google ads για να διανέμει δευτερεύοντα payload όπως το Vidar Stealer και το Ursnif.
Δείτε επίσης: Το Medusa ransomware στοχεύει εταιρείες σε όλο τον κόσμο
Σύμφωνα με την εταιρεία κυβερνοασφάλειας eSentire, οι κακόβουλες διαφημίσεις χρησιμοποιούνται για να παραπλανήσουν ένα ευρύ φάσμα νόμιμων εφαρμογών και υπηρεσιών όπως το Adobe, το ChatGPT του OpenAPI, το Spotify, το Tableau και το Zoom.
Το όνομα BATLOADER είναι εύστοχο- κάνει ακριβώς αυτό που υποδηλώνει το όνομά του – διανέμει κακόβουλα ωφέλιμα φορτία, όπως information stealers, κακόβουλο λογισμικό για οικονομικούς λογαριασμούς, Cobalt Strike και ransomware.
Χαρακτηριστικό γνώρισμα των επιχειρήσεων BATLOADER είναι η χρήση τεχνικών μεταμφίεσης λογισμικού για τη διάδοση κακόβουλου λογισμικού.
Δείτε επίσης: Dark Pink: Επιτίθεται σε κυβερνητικούς/στρατωτικούς οργανισμούς με το KamiKakaBot malware
Αυτό επιτυγχάνεται με τη δημιουργία παρόμοιων ιστότοπων που φιλοξενούν αρχεία εγκατάστασης των Windows που μεταμφιέζονται σε νόμιμες εφαρμογές για να ενεργοποιήσουν τη σειρά μόλυνσης όταν ένας χρήστης που αναζητά το λογισμικό κάνει κλικ σε μια αδίστακτη διαφήμιση στη σελίδα αποτελεσμάτων αναζήτησης Google.
Αυτά τα αρχεία εγκατάστασης MSI, όταν εκκινούνται, εκτελούν Python scripts που περιέχουν το BATLOADER payload για την ανάκτηση του κακόβουλου λογισμικού επόμενου σταδίου από έναν remote server.
Αυτή η μεθοδολογία επίθεσης είναι μια μικρή απόκλιση από αυτές που παρατηρήθηκαν τον Δεκέμβριο του 2022, όταν τα πακέτα εγκατάστασης MSI χρησιμοποιήθηκαν για την εκτέλεση PowerShell script και τελικά για τη λήψη κακόβουλων προγραμμάτων κλοπής δεδομένων.
Μέσω των αναλύσεων της eSentire, άλλα δείγματα BATLOADER εμφάνισαν περαιτέρω λειτουργίες που επιτρέπουν στο κακόβουλο λογισμικό να αποκτήσει μόνιμη πρόσβαση σε δίκτυα επιχειρήσεων.
Στον απόηχο της απόφασης της Microsoft να αποκλείσει τις μακροεντολές στο Office από προεπιλογή από αρχεία που κατεβαίνουν από το διαδίκτυο, οι κακόβουλες διαφημίσεις σε μηχανές αναζήτησης εκτοξεύτηκε στα ύψη – ένα δραματικό γεγονός που δίνει τώρα τη θέση του σε αυτή τη νεότερη εξέλιξη.
Δείτε επίσης: Clop ransomware: Παραβίασε εταιρείες μέσω GoAnywhere MFT zero-day
“Οι απειλητικοί παράγοντες κάνουν κατάχρηση του δικτύου διαφημίσεων της Google αγοράζοντας διαφημιστικό χώρο για δημοφιλείς λέξεις-κλειδιά και τα σχετικά τυπογραφικά λάθη τους”, σημείωσε η εταιρεία κυβερνοασφάλειας Malwarebytes τον Ιούλιο του 2022.
“Το BATLOADER συνεχίζει να αλλάζει και να βελτιώνεται από τότε που πρωτοεμφανίστηκε το 2022”, ανέφερε η eSentire.
“Το BATLOADER στοχεύει σκόπιμα και παραποιεί δημοφιλείς επιχειρηματικές εφαρμογές για να τις εκμεταλλευτεί ως μέσο κερδοφορίας μέσω απάτης ή εισβολής. Καθώς αυτές οι οικείες εφαρμογές βρίσκονται συχνά σε εμπορικά δίκτυα, παρέχουν την ευκαιρία στους εισβολείς να αποκτήσουν πρόσβαση πιο εύκολα από ποτέ.”
Πηγή πληροφοριών: thehackernews.com
