Malware BatLoader usa anúncios do Google para instalar trojans

Da Redação
13/03/2023

O downloader de malware conhecido como BatLoader foi observado usando  o serviço de publicidade Google Ads para distribuir cargas secundárias de trojans bancários como o Vidar Stealer e Ursnif. De acordo com a empresa de segurança cibernética eSentire, os anúncios maliciosos são usados para falsificar uma ampla gama de aplicativos e serviços legítimos, como Adobe, ChatGPT da OpenAI, Spotify, Tableau e Zoom.

O BatLoader, como o nome sugere, é um carregador de arquivo responsável por distribuir malware de próximo estágio, como ladrões de informações, trojan bancário, Cobalt Strike e até mesmo ransomware.

Uma das principais características das operações do carregador é o uso de táticas de representação de software para distribuição de malware. Isso é obtido com a configuração de sites semelhantes que hospedam arquivos do instalador do Windows disfarçados de aplicativos legítimos para acionar a sequência de infecção quando um usuário que pesquisa pelo software clica em um anúncio na página de resultados de buscas do Google. Esses arquivos do instalador do Windows, quando iniciados, executam scripts Python que contêm a carga do BatLoader para recuperar o malware de próximo estágio de um servidor remoto.

Esse modus operandi marca uma ligeira mudança em relação às cadeias de ataque anteriores observadas em dezembro do ano passado, quando os pacotes do instalador do Windows foram usados para executar scripts do PowerShell para baixar o malware ladrão.

Outras amostras do BatLoader analisadas pela eSentire também revelaram recursos adicionais que permitem que o malware estabeleça acesso “entrincheirado” às redes corporativas.

Veja isso
Anúncios do Google usados para phishing direcionado à AWS
Agente de acesso usa anúncios do Google para instalar ransomware

A notícia chega em meio a uma explosão recente de publicidade maliciosa em mecanismos de busca em resposta à decisão da Microsoft de bloquear macros no Office por padrão a partir de arquivos baixados da internet. “Os operadores de ameaças estão explorando a rede de anúncios do Google, comprando espaço publicitário para palavras-chave populares e seus erros de digitação associados”, observou a empresa de segurança cibernética Malwarebytes em julho do ano passado.

“O BatLoader continua a evoluir desde que surgiu pela primeira vez no ano passado”, disse a eSentire. “O malware tem como alvo vários aplicativos populares para representação. Isso não é acidental, já que esses aplicativos são comumente encontrados em redes de negócios e, portanto, podem render pontos de apoio valiosos para monetização por meio de fraude ou invasões.”

Compartilhar: