Discutiamo le campagne di malware Batloader che abbiamo osservato nell’ultimo trimestre del 2022, compresa la nostra analisi degli eventi legati a Water Minyades (questo è il set di intrusioni che rintracciamo dietro la creazione di Batloader).
Batloader (rilevato da Trend Micro come Trojan.Win32.BATLOADER), è una famiglia di malware ad accesso iniziale nota per l’utilizzo di tecniche di malvertising e per l’uso di malware basato su script all’interno di pacchetti Microsoft Software Installation (MSI) scaricati da siti web dall’aspetto legittimo ma malevolo. All’inizio di quest’anno, i ricercatori di Mandiant hanno osservato che Batloader utilizza tecniche di avvelenamento dei motori di ricerca (SEO) nei suoi attacchi.
Batloader è associato a un set di intrusioni che abbiamo battezzato “Water Minyades”. Gli attori dietro Water Minyades sono noti per aver diffuso altre minacce informatiche nell’ultimo trimestre del 2022, come Qakbot, RaccoonStealer e Bumbleloader tramite tecniche di social engineering.
Capacità di Batloader
Il Batloader anti-sandbox è solitamente gonfiato fino a raggiungere dimensioni molto grandi, essendo allegato a un file di installazione legittimo. Questo può impedire alle sandbox con limiti di dimensione dei file di esplodere correttamente e di osservare il comportamento del file.
Fingerprints host Batloader esegue il fingerprints dell’host per determinare se si tratta di una vittima legittima. Controlla gli artefatti dell’ambiente, come l’utente, il nome del computer e se è collegato a un dominio.
Comunica con C&C Batloader è un malware modulare che comunica con il suo server C&C ed è stato osservato rilasciare malware in base alle specifiche dell’host vittima che ha infettato. Se l’host vittima appartiene a un ambiente aziendale, è più probabile che rilasci lo strumento di gestione remota Atera e il beacon Cobalt Strike, che porterebbe poi alla distribuzione del ransomware.
Arresta i servizi del software di sicurezza Batloader esegue script open-sourced che tentano di arrestare i servizi relativi al software di sicurezza, come Windows Defender.
Escalation dei privilegi Batloader abusa di strumenti legittimi come NirCmd.exe e Nsudo.exe per escalation dei privilegi.
Evade le soluzioni antivirus (AV) Batloader utilizza diverse tecniche per tentare di eludere le soluzioni antivirus, ad esempio ipergonfiando le dimensioni dei file MSI per i motori antivirus che hanno limiti di dimensioni dei file, utilizzando script modulari notevolmente corti che possono essere difficili da rilevare strutturalmente, acquisendo firme digitali legittime per i file MSI, offuscando gli script che si connettono ai server di comando e controllo (C&C) di Batloader e abusando di servizi di condivisione di file legittimi per ospitare payload di malware.
Installa altri componenti Batloader utilizza un approccio modulare in cui il payload del primo stadio della campagna è solitamente un file MSI in bundle con script di azione personalizzati. Gli altri componenti della campagna, compresi gli strumenti legittimi che scaricherà per aumentare i suoi privilegi e scaricare altro malware, saranno scaricati da questi script.
Installa altro malware Batloader è stato osservato rilasciare diversi payload di malware, come Ursnif, Vidar, Bumbleloader, RedLine Stealer, ZLoader, Cobalt Strike e SmokeLoader. Può anche rilasciare strumenti di gestione remota legittimi, come Syncro e Atera. Batloader è anche un elemento chiave per il ransomware Royal, la seconda famiglia di ransomware più diffusa che abbiamo osservato di recente.
Esame del set di intrusione Water Minyades
Water Minyades è noto per fare molto affidamento sulle tecniche di elusione della difesa, una delle quali consiste nel distribuire payload con file di dimensioni molto grandi per eludere l’analisi delle sandbox e i limiti di dimensione dei file dei motori antivirus. Water Minyades abusa anche di strumenti legittimi, come lo strumento di gestione del sistema NSudo e lo strumento di crittografia delle e-mail e dei file Gpg4win, per elevare i privilegi e decriptare i payload dannosi. Questo set di intrusioni abusa anche delle firme digitali legittime dei file MSI, sfrutta le vulnerabilità relative alle firme PE Authenticode di Windows per eseguire script dannosi che sono stati aggiunti alle DLL (librerie di collegamenti dinamici) firmate e utilizza script che possono essere facilmente modificati per eludere i motori di scansione che si basano su tecniche di rilevamento delle firme strutturali.
Diffusione
Utilizzando i dati di feedback di Trend Micro™ Smart Protection Network™ (SPN), abbiamo determinato che gli attacchi Batloader sono diffusi soprattutto negli Stati Uniti, in Canada, Germania, Giappone e Regno Unito.
Attenzione quando scaricate questi programmi
Batloader arriva solitamente tramite siti web dannosi che si spacciano per software o applicazioni legittime. Le vittime possono essere reindirizzate a questi siti web tramite tecniche di malvertising e falsi commenti sui forum contenenti link che portano ai siti web di distribuzione di Batloader.
Sulla base delle nostre indagini, abbiamo determinato che Batloader impersona una serie di siti web legittimi di software e applicazioni nella sua campagna:
Adobe
AnyDesk
Audacity
Blender
CCleaner
FileZilla
Fortinet
Foxit
GetNotes
Google Editor
Grammarly
Java
KMSAuto
LogmeIn
Luminar
Minersoft
Putty
Schwab
Slack
TeamViewer
TradingView
uTorrent
WinRAR
Zoho
Zoom
