Når det gjelder å velge ofre for nettkriminalitet, vet kriminelle at enhver potensiell gevinst er større fra en organisasjon eller et selskap enn en enkeltperson. BatLoader retter seg mot bedrifter for videre utnyttelse med Living off the Land-angrep.
Så hva er BatLoader malware? Hvordan infiserer den enheten din? Og hvordan kan du beskytte deg selv?
Hvordan infiserer BatLoader systemet ditt?
De enkleste løsningene er ofte de beste – selv i en verden av cybersikkerhet. I stedet for å undersøke brannmurer og åpne porter, eller til og med sprute ut på en målrettet phishing-kampanje, BatLoader er integrert i Windows MSI-installasjonsprogrammer for vanlig forretningsprogramvare som Zoom, TeamViewer, LogMeIn og AnyDesk.
Kriminelle kjøper deretter annonser som vises øverst i søkeresultatene for den programvaren, og som leder brukere til imiterte nettsteder som logmein-cloud (dot) com. Dette bestemte domenenavnet ble registrert og hostet i Russland, og har blitt fjernet. Offeret laster deretter ned og kjører binærfilen, og gir angripere tilgang til ofrenes datamaskiner.
Når den er installert, regner BatLoader ut om den er på en hjemmedatamaskin eller et bedriftsnettverk. Mens kriminelle kan være i stand til å stjele moderate mengder fra enkeltpersoner, er potensialet for storstilt tyveri og kaos på en bedrifts-PC eller nettverk mye større.
Er BatLoader farlig for bedrifter?
BatLoader er ekstremt farlig for bedrifter, da den i motsetning til de fleste skadelig programvare bare er delvis automatisert. Når den er installert, bruker BatLoader Living off the Land-kommandoer for å hente mer skadelig programvare.
Hvis den er distribuert på en enkelt datamaskin, vil BatLoader laste ned og installere skadelig programvare og informasjonstyvere for banktjenester. Hvis BatLoader oppdager at den er på et bredere nettverk, vil den installere ekstern overvåking og administrasjon av skadelig programvare. Dette gir en angriper kontroll over maskinen din – slik at de kan utforske nettverket og utføre flere handlinger. Denne metoden styres av en person eller gruppe mennesker i stedet for av tilleggskode.
Når angripere har full kontroll over PC-en eller nettverket, er det ikke nødvendig å installere mer skadelig programvare, og det er de i stand til å bruke allerede eksisterende programvare som Windows PowerShell, skriptverktøy og direkte kommandoer for å administrere system. Dette er kjent som en Living off the Land (LotL) angrep.
Hvordan forhindre en BatLoader-infeksjon
BatLoader distribueres av installasjonsprogrammer for Windows-PCer som vises i annonser over søkeresultatene.
Annonser kan kjøpes, men det er veldig vanskelig å skyve et nettsted for et forfalsket produkt til forsiden av søkeresultater – spesielt når det konkurrerer med det ekte produktet. Du bør bare laste ned programvare fra den offisielle siden, ikke den i en annonse.
Du bør også holde et øye med systemprosesser og overvåke nettverket ditt for å sikre at maskinene dine ikke snakker med noen de ikke burde.
Sikkerhet er alles ansvar
Det er lett å tenke at sikkerhet utelukkende er ansvaret til en dedikert avdeling eller noen få spesialiserte personer i teamet ditt. Men sikkerhet bør være en toppprioritet for alle i organisasjonen din, uavhengig av rollen. Hvis du tror at dine egne ferdigheter kanskje ikke er opp til bunnen av, bør du vurdere å ta et nettbasert cybersikkerhetskurs for å beskytte bedriften din eller få jobb med en ny.