Cyberthreat.id – Perusahaan keamanan siber eSentire mengungkapkan bahwa pengunduh malware yang dikenal sebagai BATLOADER telah diamati menyalahgunakan Google Ads untuk mengirimkan muatan sekunder seperti Vidar Stealer dan Ursnif.

Dikutip dari The Hacker News, iklan berbahaya ini digunakan untuk memalsukan berbagai aplikasi dan layanan resmi seperti Adobe, ChatGPT OpenAPI, Spotify, Tableau, dan Zoom.

BATLOADER, seperti namanya, adalah loader yang bertanggung jawab untuk mendistribusikan malware tahap berikutnya seperti pencuri informasi, malware perbankan, Cobalt Strike, dan bahkan ransomware. Salah satu ciri utama operasi BATLOADER adalah penggunaan taktik peniruan identitas perangkat lunak untuk pengiriman malware.

Hal ini dicapai dengan menyiapkan situs web serupa yang menghosting file penginstal Windows yang menyamar sebagai aplikasi yang sah untuk memicu urutan infeksi saat pengguna yang mencari perangkat lunak mengklik iklan nakal di halaman hasil pencarian Google. File penginstal MSI ini, saat diluncurkan, menjalankan skrip Python yang berisi muatan BATLOADER untuk mengambil malware tahap berikutnya dari server jarak jauh.

“Modus operandi ini menandai sedikit pergeseran dari rantai serangan sebelumnya yang diamati pada Desember 2022, ketika paket penginstal MSI digunakan untuk menjalankan skrip PowerShell untuk mengunduh malware pencuri,” kata eSentire.

Sampel BATLOADER lain yang dianalisis oleh eSentire juga mengungkapkan kemampuan tambahan yang memungkinkan malware membuat akses yang mengakar ke jaringan perusahaan. BATLOADER menargetkan berbagai aplikasi populer untuk peniruan identitas.

Hal ini bukan kebetulan, karena aplikasi ini biasanya ditemukan di jaringan bisnis dan dengan demikian, aplikasi tersebut akan menghasilkan pijakan yang lebih berharga untuk monetisasi melalui penipuan atau penyusupan keyboard secara langsung.

“BATLOADER terus mengalami perubahan dan peningkatan sejak pertama kali muncul pada 2022,” kata eSentire.