טוען תוכנות זדוניות חדש ומסוכן עם תכונות לקביעה אם הוא במערכת עסקית או במחשב אישי החל להדביק במהירות מערכות ברחבי העולם במהלך החודשים האחרונים.

חוקרים ב-VMware Carbon Black עוקבים אחר האיום, המכונה BatLoader, ואומרים שהמפעילים שלו משתמשים בטפטפת כדי להפיץ מגוון כלים של תוכנות זדוניות, כולל סוס טרויאני בנקאי, גניבת מידע וערכת הכלים שלאחר הניצול Cobalt Strike במערכות קורבנות. הטקטיקה של שחקן האיום הייתה לארח את התוכנה הזדונית באתרים שנפגעו ולפתות משתמשים לאתרים אלה באמצעות שיטות הרעלת מנועי חיפוש (SEO).

לחיות מהאדמה

BatLoader מסתמך במידה רבה על קבצי סקריפטים אצווה ו-PowerShell כדי להשיג דריסת רגל ראשונית במחשב הקורבן ולהוריד אליו תוכנות זדוניות אחרות. זה עשה את הקמפיין קשה לזהות ולחסום, במיוחד בשלבים המוקדמים, אמרו אנליסטים מצוות הזיהוי והתגובה המנוהלים של VMware Carbon Black (MDR) בדו"ח שפורסם ב-14 בנובמבר.

VMware אמרה שצוות ה-Carbon Black MDR שלה צפה ב-43 זיהומים מוצלחים ב-90 הימים האחרונים, בנוסף למספר ניסיונות לא מוצלחים אחרים שבהם קורבן הוריד את קובץ ההדבקה הראשוני אך לא ביצע אותו. תשעה מהקורבנות היו ארגונים במגזר השירותים העסקיים, שבעה היו חברות שירותים פיננסיים, וחמישה עסקו בתעשייה. הקורבנות האחרים כללו ארגונים במגזרי החינוך, הקמעונאות, ה-IT ובריאות.

ב-9 בנובמבר, eSentire אמרה שצוות ציד האיומים שלה צפה במפעיל של BatLoader מפתה קורבנות לאתרי אינטרנט המתחזה לדפי הורדה של תוכנות עסקיות פופולריות כמו LogMeIn, Zoom, TeamViewer ו-AnyDesk. שחקן האיום הפיץ קישורים לאתרים אלה באמצעות מודעות שהופיעו באופן בולט בתוצאות מנועי החיפוש כאשר משתמשים חיפשו כל אחד ממוצרי התוכנה הללו.

ספק האבטחה אמר כי בתקרית אחת של סוף אוקטובר, לקוח eSentire הגיע לעמוד הורדה מזויף של LogMeIn והוריד מתקין של Windows שבין היתר יוצר פרופיל של המערכת ומשתמש במידע כדי לאחזר מטען שלב שני.

"מה שהופך את BatLoader למעניין הוא שיש בו הגיון מובנה שקובע אם המחשב הנפגע הוא מחשב אישי או מחשב ארגוני", אומר קיגן קפלינגר, מוביל מחקר ודיווח בצוות המחקר TRU של eSentire. "אז הוא מפיל את סוג התוכנה הזדונית המתאימה למצב."

אספקת מטען סלקטיבי

לדוגמה, אם BatLoader פוגע במחשב אישי, הוא מוריד תוכנות זדוניות בנקאיות Ursnif ואת גנב המידע Vidar. אם הוא פוגע במחשב המצורף לתחום או ארגוני, הוא מוריד את Cobalt Strike ואת כלי הניטור והניהול מרחוק Syncro, בנוסף לסוס הטרויאני הבנקאי וגניבת המידע.

"אם BatLoader נוחת על מחשב אישי, הוא ימשיך עם הונאה, גניבת מידע ומטענים מבוססי בנקאות כמו Ursnif", אומר קיגן. "אם BatLoader יזהה שהוא נמצא בסביבה ארגונית, הוא ימשיך עם כלי חדירה כמו Cobalt Strike ו-Syncro."

קיגן אומר ש-eSentire צפה ב"הרבה" מתקפות סייבר אחרונות בהן היה מעורב BatLoader. רוב ההתקפות הן אופורטוניסטיות ופוגעות בכל מי שמחפש כלי תוכנה חינמיים אמינים ופופולריים. 

"כדי לעמוד מול ארגונים, BatLoader ממנפת מודעות מורעלות כך שכאשר עובדים מחפשים תוכנות חינמיות מהימנות, כמו LogMeIn ו-Zoom, הם במקום זאת נוחתים באתרים הנשלטים על ידי תוקפים, ומספקים את BatLoader."

חופף עם Conti, ZLoader

VMware Carbon Black אמרה שבעוד שיש כמה היבטים של מסע הפרסום BatLoader שהם ייחודיים, יש גם כמה מאפיינים של שרשרת התקיפה שיש להם דמיון עם פעולת תוכנת כופר Conti. 

החפיפות כוללות כתובת IP שבה השתמשה קבוצת Conti בקמפיין הממנף את הפגיעות של Log4j, ושימוש בכלי ניהול מרחוק בשם Atera שבו השתמשה Conti בפעולות קודמות. 

בנוסף לדמיון עם Conti, ל-BatLoader יש גם מספר חפיפות זלאדר, טרויאני בנקאי זה נראה נגזר מהטרויאן הבנקאי של זאוס של תחילת שנות ה-2000, אמר ספק האבטחה. קווי הדמיון הגדולים ביותר שם כוללים שימוש בהרעלת SEO כדי לפתות קורבנות לאתרים עמוסי תוכנות זדוניות, שימוש ב-Windows Installer לביסוס דריסת רגל ראשונית ושימוש ב-PowerShell, קבצי סקריפטים וקובצי הפעלה מקוריים אחרים במהלך שרשרת ההתקפה.

Mandiant היה הראשון שדיווח על BatLoader. בפוסט בבלוג בפברואר, דיווחה ספקית האבטחה על התבוננות בשחקן איום באמצעות "התקנת אפליקציות פרודוקטיביות בחינם" ו"התקנת כלי פיתוח תוכנה בחינם" כמילות מפתח SEO כדי לפתות משתמשים להוריד אתרים. 

"הפשרה הראשונית הזו של BatLoader הייתה תחילתה של שרשרת זיהום רב-שלבית שמספק לתוקפים דריסת רגל בתוך ארגון היעד", אמר מנדיאנט. התוקפים השתמשו בכל שלב כדי להגדיר את השלב הבא בשרשרת ההתקפה באמצעות כלים כגון PowerShell, Msiexec.exe ו-Mshta.exe כדי להתחמק מזיהוי.