Ngày 11 tháng 3 năm 2023Ravie LakshmananThông tin về mối đe dọa mạng
Trình tải xuống phần mềm độc hại có tên BATLOADER đã được quan sát thấy đang lạm dụng Google Ads để phân phối các phần mềm độc hại như Vidar Stealer và Ursnif.
Theo công ty an ninh mạng eSentire, quảng cáo độc hại được sử dụng để giả mạo nhiều ứng dụng và dịch vụ hợp pháp như Adobe, ChatGPT của OpenAPI, Spotify, Tableau và Zoom.
BATLOADER, đúng như tên gọi, là một trình tải chịu trách nhiệm phân phối phần mềm độc hại giai đoạn tiếp theo, chẳng hạn như phần mềm đánh cắp thông tin, phần mềm độc hại ngân hàng, Cobalt Strike và thậm chí cả phần mềm tống tiền.
Một trong những đặc điểm chính của hoạt động BATLOADER là sử dụng các chiến thuật mạo danh phần mềm để phân phối phần mềm độc hại.
Điều này đạt được bằng cách thiết lập các trang web tương tự lưu trữ các tệp trình cài đặt Windows giả dạng ứng dụng hợp pháp để kích hoạt trình tự lây nhiễm khi người dùng tìm kiếm phần mềm nhấp vào quảng cáo lừa đảo trên trang kết quả tìm kiếm của Google.
Các tệp trình cài đặt MSI này, khi được khởi chạy, sẽ thực thi các tập lệnh Python có chứa tải trọng BATLOADER để truy xuất phần mềm độc hại giai đoạn tiếp theo từ một máy chủ từ xa.
Phương thức hoạt động này đánh dấu một sự thay đổi nhỏ so với các chuỗi tấn công trước đó được quan sát thấy vào tháng 12 năm 2022, khi các gói trình cài đặt MSI được sử dụng để chạy các tập lệnh PowerShell nhằm tải xuống phần mềm độc hại đánh cắp.
Các mẫu BATLOADER khác do eSentire phân tích cũng tiết lộ các khả năng bổ sung cho phép phần mềm độc hại thiết lập quyền truy cập cố định vào mạng doanh nghiệp.
“BATLOADER tiếp tục chứng kiến những thay đổi và cải tiến kể từ lần đầu tiên ra mắt vào năm 2022,” eSentire cho biết.
“BATLOADER nhắm mục tiêu vào các ứng dụng phổ biến khác nhau để mạo danh. Đây không phải là ngẫu nhiên, vì các ứng dụng này thường được tìm thấy trong các mạng kinh doanh và do đó, chúng sẽ mang lại nhiều chỗ đứng có giá trị hơn để kiếm tiền thông qua gian lận hoặc xâm nhập bàn phím.”
