BATLOADER Malware Uses Google Ads to Deliver Vidar Stealer and Ursnif Payloads
มัลแวร์ BATLOADER ถูกสังเกตว่าใช้ Google Ads ในทางที่ผิดเพื่อส่งเพย์โหลดสำรอง เช่น Vidar Stealer และ Ursnif จากข้อมูลของบริษัทด้านความปลอดภัยทางไซเบอร์ eSentire พบโฆษณาที่เป็นอันตรายถูกใช้เพื่อปลอมแปลงเป็นแอปพลิเคชันและบริการต่างๆ เช่น Adobe, ChatGPT ของ OpenAPI, Spotify, Tableau และ Zoom
โดยมัลแวร์ BATLOADER นั้นเป็นตัวดาวน์โหลดมัลแวร์ที่สามารถใช้เพื่อแพร่กระจายมัลแวร์หรือใช้ในการโจมตีในรูปแบบอื่นๆได้ เช่น malware banking, Cobalt Strike และ ransomware นอกจากนี้มัลแวร์ BATLOADER ยังสามารถเลียนแบบซอฟต์แวร์อื่นๆเพื่อใช้แพร่กระจายมัลแวร์ได้อีกด้วย
โดยการโจมตีนั้นจะเริ่มหลังจากที่เหยื่อเปิดใช้ไฟล์ตัวติดตั้ง MSI จะทำการรันสคริปต์ Python ที่มีเพย์โหลด BATLOADER เพื่อใช้ดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ระยะไกล ซึ่งวิธีการนี้เปลี่ยนแปลงไปเล็กน้อยจากการโจมตีก่อนหน้านี้ที่ถูกพบในเดือนธันวาคม 2022 โดยในครั้งก่อนนั้นเมื่อเหยื่อเปิดใช้ไฟล์ตัวติดตั้ง MSI จะทำการรันสคริปต์ PowerShell เพื่อดาวน์โหลดมัลแวร์ขโมยข้อมูล และในปัจจุบันมัลแวร์ BATLOADER ได้กำหนดเป้าหมายแอปพลิเคชันยอดนิยมต่างๆ เพื่อเลียนแบบ เนื่องจากแอปพลิเคชันเหล่านี้สามารถพบได้ทั่วไปในเครือข่ายธุรกิจ
https://thehackernews.com/2023/03/batloader-malware-uses-google-ads-to.html