- 9,513
- 18
- 8 Ноя 2022
BatLoader распространяется через пиратские приложения и имеет сходство с Conti и Zloader.
Исследователи из Для просмотра ссылки Войди
BatLoader использует сценарии PowerShell, чтобы закрепиться на устройстве и загрузить на него другие вредоносные программы. Именно это затруднило обнаружение кампании, особенно на ранних стадиях. Эксперты зафиксировали 43 успешных заражения за последние 90 дней. Вот несколько примеров жертв кампании:
- 9 жертв – организации в сфере бизнес-услуг;
- 7 – финансовые компании;
- 5 – производственные организации.
Другими жертвами стали организации в сфере образования, розничной торговли, IT-технологий и здравоохранения.
9 ноября eSentire обнаружила, что оператор BatLoader заманивал жертв на веб-сайты, маскирующиеся под страницы загрузки популярного ПО для бизнеса, такого как LogMeIn, Zoom, TeamViewer и AnyDesk. Злоумышленник распространял ссылки на эти веб-сайты через рекламу, которая появлялась на видном месте в результатах поиска, когда пользователь искал одну из этих программ.
На сайте пользователь загружает установщик Windows, который, среди прочего, профилирует систему и использует информацию для получения полезной нагрузки второго этапа.
Примечательно то, что BatLoader сам определяет, является ли целевой компьютер персональным или корпоративным компьютером. Затем он загружает тип вредоносного ПО, соответствующий определённому устройству.
Например, если BatLoader попадает на персональный компьютер, он загружает Для просмотра ссылки Войди
В VMware Carbon Black заявили, что у кампании BatLoader несколько атрибутов цепочки атак совпадают с операцией группировки Conti - IP-адрес и инструмент удаленного управления Для просмотра ссылки Войди
BatLoader также имеет несколько совпадений с банковским трояном Zloader, а именно использование отравления SEO и установщика Windows для создания первоначального плацдарма, а также использование сценариев PowerShell и других двоичных файлов ОС во время атаки.
- Источник новости
- https://www.securitylab.ru/news/534790.php
