BATLOADER olarak bilinen kötü amaçlı yazılım indiricisinin, Vidar Stealer ve Ursnif gibi ikincil yükler sağlamak için Google Ads’ü kötüye kullandığı gözlemlendi.
Siber güvenlik şirketine göre eSentirekötü amaçlı reklamlar, Adobe, OpenAPI’nin ChatGPT’si, Spotify, Tableau ve Zoom gibi çok çeşitli yasal uygulama ve hizmetleri yanıltmak için kullanılır.
BATLOADER, adından da anlaşılacağı gibi, bilgi hırsızları, bankacılık kötü amaçlı yazılımları, Cobalt Strike ve hatta fidye yazılımları gibi sonraki aşamadaki kötü amaçlı yazılımları dağıtmaktan sorumlu bir yükleyicidir.
BATLOADER operasyonlarının temel özelliklerinden biri, kötü amaçlı yazılım dağıtımı için yazılım kimliğine bürünme taktiklerinin kullanılmasıdır.
Bu, yazılımı arayan bir kullanıcı Google arama sonuçları sayfasında hileli bir reklamı tıkladığında bulaşma dizisini tetiklemek için meşru uygulamalar gibi görünen Windows yükleyici dosyalarını barındıran benzer web siteleri kurarak elde edilir.
Bu MSI yükleyici dosyaları başlatıldığında, bir sonraki aşama kötü amaçlı yazılımı uzak bir sunucudan almak için BATLOADER yükünü içeren Python komut dosyalarını yürütür.
Bu modus operandi, öncekinden hafif bir kaymaya işaret ediyor saldırı zincirleri Aralık 2022’de, hırsız kötü amaçlı yazılımını indirmek için PowerShell komut dosyalarını çalıştırmak için MSI yükleyici paketlerinin kullanıldığı gözlemlendi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
eSentire tarafından analiz edilen diğer BATLOADER örnekleri, kötü amaçlı yazılımın kurumsal ağlara yerleşik erişim sağlamasına olanak tanıyan ek yetenekler de ortaya çıkardı.
eSentire, “BATLOADER, ilk ortaya çıktığı 2022’den bu yana değişiklikler ve gelişme görmeye devam ediyor.” dedi.
“BATLOADER, kimliğe bürünme için çeşitli popüler uygulamaları hedefliyor. Bu uygulamalar genellikle iş ağlarında bulunduğundan ve bu nedenle dolandırıcılık veya uygulamalı klavye izinsiz girişleri yoluyla para kazanma için daha değerli dayanaklar sağlayacağından, bu bir tesadüf değil.”