Jeśli chodzi o wybór ofiar cyberprzestępczości, przestępcy wiedzą, że każda potencjalna korzyść jest większa od organizacji lub firmy niż od pojedynczej osoby. BatLoader atakuje firmy w celu dalszej eksploatacji za pomocą ataków Living off the Land.
Czym więc jest złośliwe oprogramowanie BatLoader? W jaki sposób infekuje twoje urządzenie? A jak możesz się chronić?
W jaki sposób BatLoader infekuje Twój system?
Najprostsze rozwiązania są często najlepsze — nawet w świecie cyberbezpieczeństwa. Zamiast sondować zapory ogniowe i otwierać porty, a nawet wylewać się na serwer ukierunkowana kampania phishingowa, BatLoader jest włączony do instalatorów Windows MSI dla popularnego oprogramowania biznesowego, takiego jak Zoom, TeamViewer, LogMeIn i AnyDesk.
Następnie przestępcy kupują reklamy, które pojawiają się na górze wyników wyszukiwania tego oprogramowania i które kierują użytkowników do imitacji stron internetowych, takich jak logmein-cloud (dot) com. Ta konkretna nazwa domeny została zarejestrowana i hostowana w Rosji i została usunięta. Następnie ofiara pobiera i uruchamia plik binarny, umożliwiając atakującym dostęp do komputerów ofiar.
Po zainstalowaniu BatLoader sprawdza, czy znajduje się na komputerze domowym, czy w sieci firmowej. Podczas gdy przestępcy mogą ukraść umiarkowane kwoty od osób fizycznych, potencjał kradzieży na dużą skalę i chaosu na komputerze biznesowym lub w sieci jest znacznie większy.
Czy BatLoader jest niebezpieczny dla firm?
BatLoader jest niezwykle niebezpieczny dla firm, ponieważ w przeciwieństwie do większości złośliwego oprogramowania jest tylko częściowo zautomatyzowany. Po zainstalowaniu BatLoader używa poleceń Living off the Land, aby pobrać więcej złośliwego oprogramowania.
Jeśli zostanie wdrożony na pojedynczym komputerze, BatLoader pobierze i zainstaluje bankowe złośliwe oprogramowanie i narzędzia do kradzieży informacji. Jeśli BatLoader wykryje, że znajduje się w szerszej sieci, zainstaluje złośliwe oprogramowanie do zdalnego monitorowania i zarządzania. Daje to atakującemu kontrolę nad Twoją maszyną, umożliwiając mu eksplorację sieci i wykonywanie większej liczby działań. Ta metoda jest prowadzona przez osobę lub grupę osób, a nie przez dodatkowy kod.
Gdy osoby atakujące przejmą pełną kontrolę nad komputerem lub siecią, nie ma potrzeby instalowania żadnego złośliwego oprogramowania i tak jest w stanie korzystać z istniejącego oprogramowania, takiego jak Windows PowerShell, narzędzi skryptowych i bezpośrednich poleceń do administrowania system. Jest to znane jako Atak Living Off the Land (LotL)..
Jak zapobiegać infekcji BatLoadera
BatLoader jest dystrybuowany przez programy instalacyjne dla komputerów z systemem Windows, które pojawiają się w reklamach nad wynikami wyszukiwania.
Reklamy można kupić, ale bardzo trudno jest umieścić witrynę podrabianego produktu na pierwszej stronie wyników wyszukiwania — zwłaszcza gdy konkuruje ona z oryginalnym produktem. Powinieneś pobierać oprogramowanie tylko z oficjalnej strony, a nie z tej w reklamie.
Powinieneś także mieć oko na procesy systemowe i monitorować swoją sieć, aby upewnić się, że twoje maszyny nie rozmawiają z nikim, z kim nie powinny.
Bezpieczeństwo jest obowiązkiem każdego
Łatwo jest myśleć, że za bezpieczeństwo odpowiada wyłącznie dedykowany dział lub kilka wyspecjalizowanych osób w Twoim zespole. Ale bezpieczeństwo powinno być najwyższym priorytetem dla wszystkich w Twojej organizacji, niezależnie od roli. Jeśli uważasz, że być może Twoje umiejętności nie są wystarczające, rozważ wzięcie udziału w kursie cyberbezpieczeństwa online, który pomoże chronić Twoją firmę, lub znajdź nową pracę.
