Detección de Malware BatLoader: Un Downloader Evasivo en Auge
Tabla de contenidos:
Los expertos en seguridad advierten sobre el notorio malware sigiloso llamado BatLoader, que ha estado infectando cada vez más instancias en todo el mundo en los últimos meses. La amenaza notoria actúa como un descargador de malware, dejando caer una variedad de cargas maliciosas en los sistemas de las víctimas. Durante las últimas campañas, se ha observado que BatLoader entrega troyanos bancarios, muestras de ransomware, ladrones de información, y el kit de herramientas de post-explotación Cobalt Strike.
Notablemente, BatLoader obtiene un conjunto de características de evasión de detección que permiten a la amenaza pasar desapercibida. Depende en gran medida de scripts de lote y PowerShell para evitar que los profesionales de ciberseguridad detecten y bloqueen las campañas maliciosas. La sofisticada rutina de ataque comparte varias similitudes con el ransomware Conti and el troyano bancario Zloader.
Detectar Ejecución del Malware BatLoader
Con los operadores del malware BatLoader constantemente agregando nuevos trucos evasivos a sus capacidades ofensivas, los defensores cibernéticos están buscando nuevas formas de identificar oportunamente la infección en la infraestructura de la organización. La plataforma más grande y avanzada del mundo para la defensa cibernética colectiva de SOC Prime selecciona nuevas reglas Sigma para detectar BatLoader. Ambas detecciones creadas por nuestros desarrolladores de Threat Bounty, Osman Demir and Sittikorn Sangrattanapitak, están mapeadas al marco de MITRE ATT&CK® y son compatibles con las soluciones SIEM, EDR, BDP y XDR líderes en la industria. Siga los enlaces a continuación para acceder instantáneamente a las reglas Sigma relevantes e investigar el contexto de la ciberamenaza:
Ejecución Sospchosa del Malware BatLoader mediante Uso de Powershell (a través de cmdline)
Esta regla Sigma, desarrollada por Osman Demir, detecta la ejecución del malware BatLoader a través de un comando malicioso de Powershell. La detección aborda la táctica de Ejecución con la técnica correspondiente Intérprete de Comando y Scripting (T1059).
El contenido mencionado anteriormente, creado por Sittikorn Sangrattanapitak, detecta el despliegue de Gpg4win para desencriptar cargas maliciosas a través del malware BatLoader. Esta regla Sigma aborda la táctica de Ejecución con la Ejecución de Usuario (T1204) y el Intérprete de Comando y Scripting (T1059) utilizados como sus técnicas principales.
Tanto los Cazadores de Amenazas aspirantes como los Ingenieros de Detección experimentados que desean perfeccionar sus habilidades de Sigma y ATT&CK y ayudar a otros a defenderse de amenazas emergentes pueden aprovechar la Threat Bounty Programde SOC Prime. Al unirse a esta iniciativa de crowdsourcing, los expertos en ciberseguridad pueden escribir sus propias reglas Sigma mapeadas a ATT&CK, compartirlas con la comunidad global de defensores cibernéticos y recibir pagos recurrentes por sus contribuciones.
Para alcanzar instantáneamente las reglas Sigma para la detección de BatLoader, simplemente haga clic en el botón Explorar Detecciones . Investigue el contexto integral de la ciberamenaza, incluidas las referencias de MITRE ATT&CK, inteligencia de amenazas, binarios ejecutables y mitigaciones para una investigación de amenazas optimizada.
Análisis de BatLoader
Inicialmente revelado y analizado por Mandiant en febrero de 2022, BatLoader sigue evolucionando, lo que representa una amenaza significativa para los profesionales de ciberseguridad.
La última investigación de VMware Carbon Black revela que el malware BatLoader aprovecha una serie de características sofisticadas para infectar subrepticiamente a víctimas desprevenidas y dejar cargas de segunda etapa en sus máquinas. Entre las últimas víctimas de BatLoader se encuentran organizaciones de los sectores de servicios empresariales, finanzas, manufactura, educación, comercio minorista, TI y salud.
Principalmente, los operadores de BatLoader dependen del envenenamiento de optimización de motores de búsqueda (SEO) para redirigir a las víctimas a sitios web falsos y empujarlas a descargar el malware. Por ejemplo, en una de las últimas campañas de BatLoader se atrajo a las víctimas para que visitaran páginas de descarga falsas para software popular, como LogMeIn, Zoom, TeamViewer y AnyDesk. Los operadores de malware empujaron enlaces a esas páginas web maliciosas a través de anuncios falsos que se mostraban activamente en los resultados de los motores de búsqueda. Usar binarios nativos del sistema operativo hace que la detección y el bloqueo de la campaña sea una tarea desafiante, especialmente en las etapas más tempranas del desarrollo del ataque.
Tras la infección, BatLoader depende de scripts de lote y PowerShell para ganar un punto de apoyo inicial en la red de la víctima. Notablemente, BatLoader tiene una lógica incorporada que permite al malware identificar si la máquina objetivo es corporativa o personal y dejar caer las cargas de segunda etapa correspondientes en cada caso. Para entornos corporativos, BatLoader generalmente aplica herramientas de intrusión, como Cobalt Strike y la utilidad de sincronización de monitoreo y gestión remota, mientras que si el malware aterriza en una computadora personal, procede con el robo de información y cargas de troyano bancario.
Notablemente, se observa que las campañas de BatLoader comparten algunas similitudes con otras muestras maliciosas infames, incluido el ransomware Conti y el troyano bancario Zloader. Las similitudes con Conti incluyen el aprovechamiento de las mismas direcciones IP que Conti aplicó para sus campañas de Log4j y el uso de una herramienta de gestión remota Atera. Y con Zloader, el malware comparte los mismos trucos de infección, principalmente, el uso de técnicas de envenenamiento SEO, scripts de PowerShell y lote, y otros binarios nativos del sistema operativo.
Manténgase por delante de los atacantes y detecte proactivamente amenazas infames con reglas Sigma seleccionadas en la Plataforma SOC Prime. ¡Las detecciones para amenazas actuales y emergentes están a mano! Explore más en https://socprime.com/.
