Clicky

El instalador incluye la carga útil del malware BATLOADERun

Se ha observado una campaña continua de ataque de envenenamiento de optimización de motores de búsqueda (SEO) que abusa de la confianza en las utilidades de software legítimas para engañar a los usuarios para que descarguen el malware BATLOADER en las máquinas comprometidas.

"El actor de amenazas utilizó temas de 'instalación de aplicaciones de productividad gratuitas' o 'instalación de herramientas de desarrollo de software gratuitas' como palabras clave de SEO para atraer a las víctimas a un sitio web comprometido y descargar un instalador malicioso", dijeron los investigadores de Mandiant en un informe publicado esta semana.

En los ataques de envenenamiento de SEO, los adversarios aumentan artificialmente la clasificación del motor de búsqueda de los sitios web (genuinos o no) que alojan su malware para que aparezcan en la parte superior de los resultados de búsqueda para que los usuarios que buscan aplicaciones específicas como TeamViewer, Visual Studio y Zoom se infecten con un programa malicioso.

El instalador, aunque empaqueta el software legítimo, también se incluye con la carga útil de BATLOADER que se ejecuta durante el proceso de instalación. Luego, el malware actúa como un trampolín para obtener más información sobre la organización objetivo mediante la descarga de ejecutables de la siguiente etapa que propagan la cadena de infección de múltiples etapas.

posicionamiento de marca

Uno de esos ejecutables es una versión manipulada de un componente interno de Microsoft Windows que se adjunta con un VBScript malicioso. Posteriormente, el ataque aprovecha una técnica llamada ejecución de proxy binario firmado para ejecutar el archivo DLL utilizando la utilidad legítima "Mshta.exe".

agente Atera

Esto da como resultado la ejecución del código VBScript, lo que activa de manera efectiva la siguiente fase del ataque en la que se entregan cargas útiles adicionales como Atera Agent, Cobalt Strike Beacon y Ursnif en las etapas posteriores para ayudar a realizar el reconocimiento remoto, la escalada de privilegios y la recolección de credenciales.

Además, en una señal de que los operadores experimentaron con diferentes estratagemas, una variante alternativa de la misma campaña entregó el software de gestión de monitoreo remoto Atera directamente como consecuencia del compromiso inicial de continuar con las actividades posteriores a la explotación.

Mandiant también mencionó las superposiciones de los ataques con las técnicas adoptadas por la pandilla de ransomware Conti, que se publicaron en agosto de 2021. "En este momento, debido a la publicación de esta información, otros actores no afiliados pueden estar replicando las técnicas por sus propios motivos y objetivos", dijeron los investigadores.

Buscar en el sitio

 
Recibe gratis nuevos artículos por email:
Inicia sesión para suscribirte en Youtube