BATLOADER использует Google Ads для доставки вредоносов Vidar Stealer и Ursnif

Загрузчик BATLOADER злоупотребляет Google Ads и использует площадку для размещения мошеннических рекламных объявлений и распространения через них вредоносов Vidar Stealer и Ursnif.

Справка

Vidar Stealer — вредоносная программа из троянских вирусов. Используется киберпреступниками для кражи данных пользователей. Основной путь распространения — через спам по email и поддельные обновления.

Ursnif — банкер, троян. Данное вредоносное ПО используется злоумышленниками для кражи банковских данных пользователей. Для этого осуществляет сбор нажатий клавиш, информацию о системе и процессах.

По данным компании eSentire, которая специализируется на кибербезопасности, злоумышленники используют вредоносную рекламу для размещения объявлений от лица якобы различных официальных и популярных приложений и сервисов, таких как Adobe, Zoom, Tableau, ChatGPT OpenAPI и Spotify.

BATLOADER, как следует из названия, представляет собой загрузчик, который разработан для распространения других вредоносов, среди которых похитители персональных данных, банкеры, вредоносное ПО по типу Cobalt Strike (введение пользователя в заблуждение) и даже программы-вымогатели.

Примечательной особенностью BATLOADER является использование тактики имитации программного обеспечения для доставки вредоносных программ. Это достигается за счет создания сайтов-клонов, на которых размещаются вредоносные файлы установщика Windows. Они маскируются под оригинальные приложения и активируют заражение устройства пользователя, когда тот по ключевому запросу с названием ПО нажимает на мошенническое объявление на странице результатов поиска Google.

Таким образом, злоумышленники компрометируют как рекламную площадку, в которой вредоносная рекламная кампания прошла все фильтры модерации, так и официальные сервисы.

Вот пример на скрине выше. Как только пользователь загружает установочный файл, в данном случае MSI, начинают выполняться сценарии Python, содержащие полезную нагрузку BATLOADER, которые извлекают с удаленного сервера вредоносного ПО следующей ступени.

Данный способ совершения операции является некоторым отклонением от предыдущей цепочки атак, которая наблюдалась в декабре 2022 года. Тогда пакеты установщика MSI использовались для запуска скриптов PowerShell, которые инициировали загрузку вредоноса, используемого для кражи информации.

Специалисты компании eSentire проанализировали и другие образцы BATLOADER и обнаружили, что с помощью него вредоносное ПО может устанавливать полный доступ к корпоративным сетям. Рост числа вредоносных объявлений в поисковых системах происходит на фоне недавнего заявления Microsoft, когда компания приняла решение о блокировке макросов в Office по умолчанию из файлов, загруженных из интернета.

«Злоумышленники злоупотребляют рекламной сетью Google, покупая рекламное место для размещения объявлений, оптимизированных под высокочастотные ключевые слова и связанные с ними опечатки», — отметили представители компании Malwarebytes, которая специализируется на кибербезопасности.

«Вредонос BATLOADER был модернизирован и усовершенствован с момента своего первого появления в 2022 году», — заявили специалисты компании eSentire, «Он имитирует популярные официальные приложения и сервисы, знакомые пользователям, и, таким образом, находит дополнительные способы распространения вредоносного ПО с целью дальнейшего мошенничества».

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий