BatLoader распространяется через пиратские приложения и имеет сходство с Conti и Zloader.
Исследователи из SEO poisoning).
BatLoader использует сценарии PowerShell, чтобы закрепиться на устройстве и загрузить на него другие вредоносные программы. Именно это затруднило обнаружение кампании, особенно на ранних стадиях. Эксперты зафиксировали 43 успешных заражения за последние 90 дней. Вот несколько примеров жертв кампании:
- 9 жертв – организации в сфере бизнес-услуг;
- 7 – финансовые компании;
- 5 – производственные организации.
Другими жертвами стали организации в сфере образования, розничной торговли, IT-технологий и здравоохранения.
9 ноября eSentire обнаружила, что оператор BatLoader заманивал жертв на веб-сайты, маскирующиеся под страницы загрузки популярного ПО для бизнеса, такого как LogMeIn, Zoom, TeamViewer и AnyDesk. Злоумышленник распространял ссылки на эти веб-сайты через рекламу, которая появлялась на видном месте в результатах поиска, когда пользователь искал одну из этих программ.
На сайте пользователь загружает установщик Windows, который, среди прочего, профилирует систему и использует информацию для получения полезной нагрузки второго этапа.
Примечательно то, что BatLoader сам определяет, является ли целевой компьютер персональным или корпоративным компьютером. Затем он загружает тип вредоносного ПО, соответствующий определённому устройству.
Например, если BatLoader попадает на персональный компьютер, он загружает банковский троян Ursnif и инфостилер Vidar . Если он попадает на корпоративный компьютер, он загружает Cobalt Strike и инструмент удаленного управления Syncro в дополнение к банковскому трояну и похитителю информации.
В VMware Carbon Black заявили, что у кампании BatLoader несколько атрибутов цепочки атак совпадают с операцией группировки Conti - IP-адрес и инструмент удаленного управления Atera , которые использовала группа Conti в своих кампаниях.
BatLoader также имеет несколько совпадений с банковским трояном Zloader, а именно использование отравления SEO и установщика Windows для создания первоначального плацдарма, а также использование сценариев PowerShell и других двоичных файлов ОС во время атаки.
