Se ha observado que el descargador de malware conocido como BATLOADER abusa de Google Ads para entregar cargas útiles secundarias como Vidar Stealer y Ursnif.
Según empresa de ciberseguridad eSentirelos anuncios maliciosos se utilizan para falsificar una amplia gama de aplicaciones y servicios legítimos, como Adobe, ChatGPT de OpenAPI, Spotify, Tableau y Zoom.
BATLOADER, como sugiere su nombre, es un cargador que se encarga de distribuir malware de próxima etapa, como ladrones de información, malware bancario, Cobalt Strike e incluso ransomware.
Una de las características clave de las operaciones de BATLOADER es el uso de tácticas de suplantación de identidad de software para la entrega de malware.
Esto se logra configurando sitios web similares que alojan archivos de instalación de Windows disfrazados de aplicaciones legítimas para activar la secuencia de infección cuando un usuario que busca el software hace clic en un anuncio falso en la página de resultados de búsqueda de Google.
Estos archivos de instalación de MSI, cuando se inician, ejecutan secuencias de comandos de Python que contienen la carga útil de BATLOADER para recuperar el malware de próxima etapa desde un servidor remoto.
Este modus operandi marca un ligero cambio con respecto al anterior. cadenas de ataque observado en diciembre de 2022, cuando los paquetes de instalación de MSI se usaron para ejecutar scripts de PowerShell para descargar el malware ladrón.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Otras muestras de BATLOADER analizadas por eSentire también han revelado capacidades adicionales que permiten que el malware establezca un acceso arraigado a las redes empresariales.
«BATLOADER continúa experimentando cambios y mejoras desde que surgió por primera vez en 2022», dijo eSentire.
«BATLOADER apunta a varias aplicaciones populares para la suplantación de identidad. Esto no es casualidad, ya que estas aplicaciones se encuentran comúnmente en las redes comerciales y, por lo tanto, generarían puntos de apoyo más valiosos para la monetización a través del fraude o las intrusiones prácticas en el teclado».