توزیع بدافزار Batloader از طریق Google Ads

محققان امنیتی اخیراً یک دانلود کننده بدافزار به نام Batloader را کشف کرده‌اند که با سوءاستفاده از سرویس Google Ads، اقدام به توزیع Payloadهای ثانویه نظیر Vidar Stealer و Ursnif می‌نماید. در همین رابطه، لازم به ذکر است تبلیغات مخرب برای جعل دامنه وسیعی از اپلیکیشن‌ها و سرویس‌ها نظیر Adobe,ChatGPT و .... مورد استفاده قرار می‌گیرند؛ این بدافزار چنان که از نامش پیداست، یک Loader است که وظیفه آن، توزیع بدافزارهایی نظیر بدافزارهای بانکی، سارقان اطلاعات، Cobalt Strike و حتی باج افزار می‌باشد.

یکی از کلیدی‌ترین تکنیک‌های مورد استفاده توسط بدافزار مزبور، بهره‌برداری از تاکتیک‌های تقلید یا شبیه‌سازی نرم‌افزارها برای توزیع بدافزار می‌باشد. این هدف با راه‌اندازی سایت‌های جعلی که میزبان فایل‌های نصب کننده ویندوز هستند و در قالب نرم‌افزارهای قانونی ظاهر می‌شوند (به منظور شروع فرآیند آلوده‌سازی در زمانی که کاربر در زمان انجام جستجو در صفحه جستجوی گوگل، بر روی یک تبلیغ کلیک می‌کند)، به دست می‌آید. این فایل‌های نصبی MSI زمانی که اجرا می‌شوند، در واقع اسکریپت‌های پایتون که حاوی Payloadهای Batloader هستند را اجرا می‌کنند تا بدافزار مورد نظر از یک سرور از راه دور، بازیابی شود. این فرآیند، در مقایسه با زنجیره حملات قبلی که در ماه دسامبر سال 2022 میلادی صورت پذیرفته‌اند، متفاوت می‌باشد؛ در سلسله حملات قبلی، پکیج‌های نصبی MSI، برای اجرای اسکریپ‌های پاورشل با هدف دانلود بدافزار سارق اطلاعات استفاده می‌شدند. در نمونه‌های بررسی شده از Batloader، مشاهده شده است که قابلیت‌های جدیدی به این بدافزار اضافه شده که بدافزار را قادر می‌سازد تا دسترسی پایداری به شبکه‌های سازمانی به دست آورد. به گفته محققان، این بدافزار از زمان پیدایش خود یعنی سال گذشته میلادی، شاهد تغییرات و بهبودهایی بوده است. گفتنی است بدافزار یاد شده، نرم‌افزارهای شناخته شده و محبوبی را هدف قرار می‌دهد که به طور مکرر در شبکه‌های سازمانی و بزرگ از آن‌ها استفاده می‌شود.