O downloader de malware conhecido como BATLOADER foi observado abusando do Google Ads para entregar payloads secundários como o Vidar Stealer e o Ursnif.
De acordo com a empresa de segurança cibernética eSentire, anúncios maliciosos são usados para imitar uma ampla gama de aplicativos e serviços legítimos, como Adobe, ChatGPT da OpenAPI, Spotify, Tableau e Zoom.
BATLOADER é um loader que é responsável por distribuir malware de próxima geração, como roubadores de informações, malware bancário, Cobalt Strike e até ransomware.
Uma das principais características das operações do BATLOADER é o uso de táticas de impersonação de software para entrega de malware.
Isso é alcançado configurando sites parecidos que hospedam arquivos de instalador do Windows disfarçados de aplicativos legítimos para acionar a sequência de infecção quando um usuário que procura o software clica em um anúncio falso na página de resultados de pesquisa do Google.
Esses arquivos de instalador MSI, quando lançados, executam scripts Python que contêm a carga útil do BATLOADER para recuperar o malware de próxima geração de um servidor remoto.
Esse modus operandi marca uma leve mudança em relação às cadeias de ataque anteriores observadas em dezembro de 2022, quando os pacotes de instalador MSI eram usados para executar scripts do PowerShell para baixar o malware roubador.
Outras amostras do BATLOADER analisadas pela eSentire também revelaram capacidades adicionais que permitem que o malware estabeleça acesso enraizado às redes empresariais.
"BATLOADER continua a ver mudanças e melhorias desde que surgiu em 2022", disse a eSentire.
"BATLOADER visa várias aplicações populares para impessoalização. Isso não é acidental, já que essas aplicações são comumente encontradas em redes empresariais e, portanto, elas renderiam pontos de apoio mais valiosos para monetização via fraude ou intrusões de teclado."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...