Er is waargenomen dat er een voortdurende aanvalscampagne voor zoekmachineoptimalisatie (SEO) is misbruikt die misbruik maakt van het vertrouwen in legitieme softwarehulpprogramma’s om gebruikers te misleiden tot het downloaden van BATLOADER-malware op gecompromitteerde machines.
“De dreigingsactor gebruikte thema’s ‘gratis installatie van productiviteits-apps’ of ‘installatie van gratis software-ontwikkeltools’ als SEO-trefwoorden om slachtoffers naar een gecompromitteerde website te lokken en een kwaadaardig installatieprogramma te downloaden”, onderzoekers van Mandiant zei in een rapport dat deze week is gepubliceerd.
Bij SEO-vergiftigingsaanvallen verhogen kwaadwillenden kunstmatig de zoekmachinepositie van websites (al dan niet echt) die hun malware hosten om ze bovenaan de zoekresultaten te laten verschijnen, zodat gebruikers die zoeken naar specifieke apps zoals TeamViewer, Visual Studio en Zoom geïnfecteerd worden met malware.
Het installatieprogramma, terwijl het de legitieme software verpakt, wordt ook gebundeld met de BATLOADER-payload die wordt uitgevoerd tijdens het installatieproces. De malware fungeert dan als een springplank om meer inzicht te krijgen in de organisatie die het doelwit is door het downloaden van uitvoerbare bestanden in de volgende fase die de infectieketen in meerdere fasen verspreiden.
Een van die uitvoerbare bestanden is een geknoeide versie van een intern onderdeel van Microsoft Windows waaraan een kwaadaardig VBScript is toegevoegd. De aanval maakt vervolgens gebruik van een techniek genaamd ondertekende binaire proxy-uitvoering om het DLL-bestand uit te voeren met behulp van het legitieme hulpprogramma “Mshta.exe”.
Dit resulteert in de uitvoering van de VBScript-code, waardoor de volgende fase van de aanval effectief wordt geactiveerd, waarbij extra payloads zoals Atera Agent, Kobalt Strike Beaconen Ursnif worden in de latere stadia geleverd om te helpen bij het uitvoeren van verkenningen op afstand, escalatie van bevoegdheden en het verzamelen van inloggegevens.
Bovendien, als teken dat de operators met verschillende trucs experimenteerden, leverde een alternatieve variant van dezelfde campagne de Atera-software voor beheer op afstand op afstand op als gevolg van het aanvankelijke compromis voor verdere vervolgactiviteiten na de exploitatie.
Mandiant noemde ook de overlappingen van de aanvallen met die van technieken die werden gebruikt door de Conti ransomware-bende, namelijk: bekend gemaakt in augustus 2021. “Op dit moment kunnen andere niet-gelieerde actoren, vanwege de openbare vrijgave van deze informatie, de technieken repliceren voor hun eigen motieven en doelstellingen”, aldus de onderzoekers.
