นักวิจัยพบมัลแวร์ "BATLOADER" มีการใช้ Google Ads เพื่อแพร่กระจาย payload สำหรับติดตั้งมัลแวร์ตัวอื่น ๆ เช่น Vidar Stealer และ Ursnif Payloads
บริษัทรักษาความปลอดภัยด้านไซเบอร์ eSentire ได้รายงานเกี่ยวกับโฆษณาที่เป็นมัลแวร์ ซึ่งถูกใช้ในการเลียนแบบแอปพลิเคชัน และบริการต่าง ๆ เช่น Adobe, OpenAPI's ChatGPT, Spotify, Tableau, และ Zoom
BATLOADER มักถูกใช้ในการแพร่กระจายมัลแวร์ตัวอื่น ๆ เช่น information stealer, banking malware, Cobalt Strike และ Ransomware โดยลักษณะเด่นของ BATLOADER คือการใช้เทคนิคการเลียนแบบแอปพลิเคชันของโปรแกรมยอดนิยมเพื่อแพร่กระจายมัลแวร์
วิธีการนี้สามารถทำได้โดยการสร้างเว็บไซต์ที่คล้ายกับเว็บไซต์ต้นฉบับที่ถูกต้อง โดยเว็บไซต์ปลอมเหล่านี้จะมีไฟล์ติดตั้งของระบบปฏิบัติการ Windows ที่ปลอมเป็นแอปพลิเคชันที่ถูกลิขสิทธิ์ เพื่อหลอกติดตั้งแอปพลิเคชันที่เป็นมัลแวร์ เมื่อผู้ใช้งานค้นหาแอปพลิเคชัน และคลิกโฆษณาในหน้าค้นหาของ Google จะเป็นการดาวน์โหลดมัลแวร์มาแทน
เมื่อเปิดใช้งานไฟล์ติดตั้ง .MSI จะเป็นการรันสคริปต์ Python ของ BATLOADER เพื่อ
ดาวน์โหลดมัลแวร์อื่นต่อไปจาก C2 Server
วิธีการนี้มีการเปลี่ยนแปลงจากการโจมตีก่อนหน้านี้ในเดือนธันวาคม 2022 โดยไฟล์ MSI
จะรันสคลิปต์ PowerShell เพื่อดาวน์โหลดมัลแวร์สำหรับการขโมยข้อมูล
ตัวอย่างอื่น ๆ ของ BATLOADER ที่ถูกวิเคราะห์โดย eSentire ได้เปิดเผยความสามารถเพิ่มเติมที่ช่วยให้มัลแวร์สามารถสร้างการเข้าถึงเครือข่ายขององค์กร
eSentire ระบุว่า BATLOADER ยังมีการเปลี่ยนแปลง และพัฒนาอย่างต่อเนื่องมาตั้งแต่ ปี 2022
BATLOADER มุ่งเป้าไปที่การปลอมเป็นแอปพลิเคชันยอดนิยมต่าง ๆ เนื่องจากแอปพลิเคชันเหล่านี้พบได้ทั่วไปในเครือข่ายธุรกิจ ดังนั้นแอปพลิเคชันเหล่านี้จะเป็นประโยชน์ในการก่ออาชญากรรม หรือการโจมตีในลักษณะ hands-on-keyboard
ที่มา : thehackernews
You must be logged in to post a comment.