استفاده بدافزار BATLOADER از تبلیغات گوگل برای ارائه Payloadهای Vidar Stealer و Ursnif

یک دانلودر بدافزار معروف به BATLOADER مشاهده شده است که از Google Ads برای ارائه payloadهای ثانویه مانند Vidar Stealer و Ursnif سوءاستفاده می‌کند [۱].

به گفته[۲] شرکت امنیت سایبری eSentire، تبلیغات موذی برای جعل طیف گسترده‌ای از برنامه‌ها و سرویس‌های قانونی مانند Adobe، ChatGPT، Spotify، Tableau و Zoom به OpenAPI استفاده می‌شود.

همان‌طور که از نام آن پیداست، BATLOADER یک لودر است که وظیفه توزیع بدافزارهای next-stage مانند دزدان اطلاعات، بدافزارهای بانکی، Cobalt Strike و حتی باج افزار را بر عهده دارد [۳].

یکی از ویژگی‌های کلیدی عملیات BATLOADER، استفاده از تاکتیک‌های جعل هویت نرم‌افزاری برای تحویل بدافزار است.

این امر با راه‌اندازی وب‌سایت‌های مشابهی به دست می‌آید که فایل‌های نصب کننده ویندوز را میزبانی می‌کنند که به‌عنوان برنامه‌های قانونی ظاهر می‌شوند تا وقتی کاربری که در جستجوی نرم‌افزار است، روی یک آگهی نادرست در صفحه نتایج جستجوی گوگل کلیک می‌کند، توالی آلودگی ایجاد شود.

این فایل‌های نصب کننده MSI، هنگام راه‌اندازی، اسکریپت‌های پایتون را اجرا می‌کنند که حاوی بار BATLOADER هستند تا بدافزار مرحله بعدی را از یک سرور راه دور بازیابی کنند.

این شیوه عملکرد نشان‌دهنده تغییر جزئی از زنجیره‌های حمله[۴] قبلی است که در دسامبر ۲۰۲۲ مشاهده شد، زمانی که بسته‌های نصب کننده MSI برای اجرای اسکریپت‌های PowerShell برای دانلود بدافزار stealer استفاده شد.

سایر نمونه‌های این بدافزار که توسط eSentire آنالیز شده‌اند نیز قابلیت‌های اضافه‌تری را نشان داده‌اند که به این بدافزار اجازه می‌دهد تا دسترسی ریشه‌ای به شبکه‌های سازمانی ایجاد کند.

eSentire دراین‌باره گفت: «این بدافزار از زمانی که برای اولین بار در سال ۲۰۲۲ ظاهر شد، همچنان شاهد تغییرات و بهبود است.»

“BATLOADER برنامه‌های مختلف محبوب را برای جعل هویت هدف قرار می‌دهد. این تصادفی نیست، زیرا این برنامه‌ها معمولاً در شبکه‌های تجاری یافت می‌شوند و بنابراین، از طریق کلاه‌برداری یا نفوذهای روی صفحه‌کلید، پایگاه‌های ارزشمندتری برای کسب درآمد ایجاد می‌کنند.”

منابع

[۱] https://apa.aut.ac.ir/?p=9497

[۲] https://www.esentire.com/blog/batloader-continues-to-abuse-google-search-ads-to-deliver-vidar-stealer-and-ursnif

[۳] https://thehackernews.com/2022/11/microsoft-warns-of-hackers-using-google.html

[۴] https://www.esentire.com/blog/recent-batloader-activity-observed-in-december-2022

[۵] https://thehackernews.com/2023/03/batloader-malware-uses-google-ads-to.html