Загрузчик BATLOADER злоупотребляет Google Ads и использует площадку для размещения мошеннических рекламных объявлений и распространения через них вредоносов Vidar Stealer и Ursnif.
Справка
Vidar Stealer — вредоносная программа из троянских вирусов. Используется киберпреступниками для кражи данных пользователей. Основной путь распространения — через спам по email и поддельные обновления.
Ursnif — банкер, троян. Данное вредоносное ПО используется злоумышленниками для кражи банковских данных пользователей. Для этого осуществляет сбор нажатий клавиш, информацию о системе и процессах.
По данным компании eSentire, которая специализируется на кибербезопасности, злоумышленники используют вредоносную рекламу для размещения объявлений от лица якобы различных официальных и популярных приложений и сервисов, таких как Adobe, Zoom, Tableau, ChatGPT OpenAPI и Spotify.
BATLOADER, как следует из названия, представляет собой загрузчик, который разработан для распространения других вредоносов, среди которых похитители персональных данных, банкеры, вредоносное ПО по типу Cobalt Strike (введение пользователя в заблуждение) и даже программы-вымогатели.
Примечательной особенностью BATLOADER является использование тактики имитации программного обеспечения для доставки вредоносных программ. Это достигается за счет создания сайтов-клонов, на которых размещаются вредоносные файлы установщика Windows. Они маскируются под оригинальные приложения и активируют заражение устройства пользователя, когда тот по ключевому запросу с названием ПО нажимает на мошенническое объявление на странице результатов поиска Google.

Таким образом, злоумышленники компрометируют как рекламную площадку, в которой вредоносная рекламная кампания прошла все фильтры модерации, так и официальные сервисы.

Вот пример на скрине выше. Как только пользователь загружает установочный файл, в данном случае MSI, начинают выполняться сценарии Python, содержащие полезную нагрузку BATLOADER, которые извлекают с удаленного сервера вредоносного ПО следующей ступени.
Данный способ совершения операции является некоторым отклонением от предыдущей цепочки атак, которая наблюдалась в декабре 2022 года. Тогда пакеты установщика MSI использовались для запуска скриптов PowerShell, которые инициировали загрузку вредоноса, используемого для кражи информации.
Специалисты компании eSentire проанализировали и другие образцы BATLOADER и обнаружили, что с помощью него вредоносное ПО может устанавливать полный доступ к корпоративным сетям. Рост числа вредоносных объявлений в поисковых системах происходит на фоне недавнего заявления Microsoft, когда компания приняла решение о блокировке макросов в Office по умолчанию из файлов, загруженных из интернета.
«Злоумышленники злоупотребляют рекламной сетью Google, покупая рекламное место для размещения объявлений, оптимизированных под высокочастотные ключевые слова и связанные с ними опечатки», — отметили представители компании Malwarebytes, которая специализируется на кибербезопасности.
«Вредонос BATLOADER был модернизирован и усовершенствован с момента своего первого появления в 2022 году», — заявили специалисты компании eSentire, «Он имитирует популярные официальные приложения и сервисы, знакомые пользователям, и, таким образом, находит дополнительные способы распространения вредоносного ПО с целью дальнейшего мошенничества».