La strategia di diffusione del downloader di malware noto come BATLOADER è stata osservata utilizzare Google Ads per distribuire carichi utili secondari come Vidar Stealer e Ursnif. Secondo la società di sicurezza informatica eSentire, gli annunci maligni vengono utilizzati per imitare una vasta gamma di app e servizi legittimi come Adobe, OpenAPI’s ChatGPT, Spotify, Tableau e Zoom. BATLOADER, come suggerisce il nome, è un loader responsabile della distribuzione di malware di prossima generazione come informazioni, malware bancari, Cobalt Strike e persino ransomware.
Una delle caratteristiche chiave delle operazioni di BATLOADER è l’utilizzo di tattiche di impersonificazione del software per la distribuzione di malware. Ciò viene ottenuto creando siti web simili che ospitano file di installazione di Windows che si mascherano da app legittime per innescare la sequenza di infezione quando un utente che cerca il software fa clic su un annuncio fraudolento sulla pagina dei risultati di ricerca di Google.
Questi file di installazione MSI, quando avviati, eseguono script Python che contengono il payload di BATLOADER per recuperare il malware di prossima generazione da un server remoto. Questo modus operandi segna una leggera variazione dalle catene di attacco precedenti osservate nel dicembre 2022, quando i pacchetti di installazione MSI venivano utilizzati per eseguire script PowerShell per scaricare il malware di furto.
Altri campioni di BATLOADER analizzati da eSentire hanno anche rivelato capacità aggiuntive che consentono al malware di stabilire un accesso radicato alle reti aziendali.
“BATLOADER continua a vedere cambiamenti e miglioramenti dal momento in cui è emerso nel 2022”, ha dichiarato eSentire. “BATLOADER mira a varie applicazioni popolari per l’impersonificazione. Non è un caso, poiché queste applicazioni sono comuni nelle reti aziendali e quindi sarebbero più utili per monetizzare tramite frodi o intrusioni dirette sulla tastiera”.
