Detecção de Malware BatLoader: Downloader Evasivo em Ascensão
Índice:
Especialistas em segurança alertam sobre o notório malware furtivo chamado BatLoader, que tem infectado cada vez mais instâncias em todo o mundo nos últimos meses. A notória ameaça atua como um baixador de malware, lançando uma variedade de cargas maliciosas nos sistemas das vítimas. Durante as campanhas mais recentes, o BatLoader foi observado entregando Trojans bancários, amostras de ransomware, ladrões de informação, e o kit de ferramentas pós-exploração Cobalt Strike.
Notavelmente, o BatLoader possui um conjunto de recursos de evasão de detecção permitindo que a ameaça passe despercebida. Ele depende fortemente de scripts em lote e PowerShell para impedir que profissionais de cibersegurança detectem e bloqueiem campanhas maliciosas. A rotina de ataque sofisticada compartilha várias semelhanças com ransomware Conti and Trojan bancário Zloader.
Detecção de Execução de Malware BatLoader
Com os operadores do malware BatLoader constantemente adicionando novos truques evasivos às suas capacidades ofensivas, os defensores cibernéticos estão em busca de novas maneiras de identificar tempestivamente a infecção na infraestrutura da organização. A plataforma mais ampla e avançada do mundo da SOC Prime para defesa cibernética coletiva seleciona novas regras Sigma para detectar o BatLoader. Ambas as detecções criadas por nossos perspicazes desenvolvedores do Threat Bounty, Osman Demir and Sittikorn Sangrattanapitak, estão mapeadas para o framework MITRE ATT&CK® e são compatíveis com soluções líderes de mercado de SIEM, EDR, BDP e XDR. Siga os links abaixo para acessar instantaneamente as regras Sigma relevantes e mergulhar no contexto da ameaça cibernética:
Execução Suspeita de Malware BatLoader por Uso de Powershell (via linha de comando)
Esta regra Sigma desenvolvida por Osman Demir detecta a execução do malware BatLoader através de um comando Powershell malicioso. A detecção aborda a tática de Execução com a técnica correspondente de Comando e Interpretador de Scripts (T1059).
Possível Execução de Malware BatLoader por Ferramenta Gpg4Win (via criação de processo)
O conteúdo acima mencionado, criado por Sittikorn Sangrattanapitak, detecta a implantação do Gpg4win para descriptografar cargas maliciosas através do malware BatLoader. Esta regra Sigma aborda a tática de Execução com a Execução pelo Usuário (T1204) e o Comando e Interpretador de Scripts (T1059) usados como suas técnicas principais.
Tanto Caçadores de Ameaças aspirantes quanto Engenheiros de Detecção experientes, ansiosos por aprimorar suas habilidades em Sigma e ATT&CK e ajudar outros a defender-se contra ameaças emergentes, podem se inscrever no programa SOC Prime Programa Threat Bounty. Ao aderir a esta iniciativa de crowdsourcing, especialistas em cibersegurança podem escrever suas próprias regras Sigma mapeadas para o ATT&CK, compartilhá-las com a comunidade global de defensores cibernéticos e receber pagamentos recorrentes por contribuições.
Para alcançar instantaneamente as regras Sigma para detecção do BatLoader, basta clicar no botão Explorar Detecções . Aprofunde-se no contexto abrangente da ameaça cibernética, incluindo referências MITRE ATT&CK, inteligência de ameaças, binários executáveis e mitigações para uma pesquisa de ameaças facilitada.
Análise do BatLoader
Inicialmente revelado e analisado pela Mandiant em fevereiro de 2022, o BatLoader continua evoluindo, o que representa uma ameaça significativa para os profissionais de cibersegurança.
A última investigação da VMware Carbon Black revela que o malware BatLoader utiliza uma série de recursos sofisticados para infectar furtivamente vítimas desprevenidas e soltar cargas de segunda fase em suas máquinas. Entre as últimas vítimas do BatLoader estão organizações nos setores de serviços empresariais, finanças, manufatura, educação, varejo, TI e saúde.
Principalmente, os operadores do BatLoader dependem do envenenamento de otimização de mecanismos de busca (SEO) para redirecionar as vítimas para sites falsos e empurrá-las a baixar o malware. Por exemplo, em uma das últimas campanhas do BatLoader, as vítimas foram atraídas para visitar páginas de download falsas para softwares populares, como LogMeIn, Zoom, TeamViewer e AnyDesk. Os operadores de malware empurraram links para essas páginas da web maliciosas através de anúncios falsos exibidos ativamente nos resultados dos motores de busca. O uso de binários residentes no sistema torna a detecção e o bloqueio da campanha uma tarefa desafiadora, especialmente nas fases iniciais do desenvolvimento do ataque.
Após a infecção, o BatLoader depende de scripts em lote e PowerShell para ganhar uma posição inicial na rede da vítima. Notavelmente, o BatLoader possui uma lógica embutida que permite ao malware identificar se a máquina alvo é corporativa ou pessoal e soltar cargas de segunda fase correspondentes em cada caso. Para ambientes corporativos, o BatLoader geralmente aplica ferramentas de intrusão, como Cobalt Strike e a utilidade de monitoramento e gerenciamento remoto Syncro, enquanto, se o malware atingir um computador pessoal, ele procede com o roubo de informações e cargas de Trojans bancários.
Notavelmente, as campanhas do BatLoader são observadas compartilhando algumas semelhanças com outras amostras maliciosas infames, incluindo o ransomware Conti e o Trojan bancário Zloader. As sobreposições com o Conti incluem o aproveitamento dos mesmos endereços IP que o Conti aplicou em suas campanhas de Log4j e o uso de uma ferramenta de gerenciamento remoto Atera. E com o Zloader, o malware compartilha os mesmos truques de infecção, principalmente o uso de técnicas de envenenamento de SEO, PowerShell & scripts em lote e outros binários nativos do SO.
Mantenha-se à frente dos atacantes e detecte proativamente ameaças notórias com regras Sigma selecionadas na Plataforma SOC Prime. Detecções para ameaças atuais e emergentes estão à mão! Explore mais em https://socprime.com/.
