Phần mềm độc hại BatLoader là gì và nó hoạt động như thế nào?

Phần mềm độc hại đáng sợ này đang lây lan qua các quảng cáo giả mạo cho sản phẩm thật. Đây là mọi thứ bạn cần biết về BatLoader.

Khi nói đến việc chọn nạn nhân cho tội phạm mạng, bọn tội phạm biết rằng bất kỳ khoản tiền tiềm năng nào từ một tổ chức hoặc công ty đều lớn hơn từ một cá nhân. BatLoader nhắm mục tiêu vào các doanh nghiệp để khai thác thêm bằng các cuộc tấn công Living off the Land.

Vậy phần mềm độc hại BatLoader là gì? Làm thế nào để nó lây nhiễm thiết bị của bạn? Và làm thế nào bạn có thể tự bảo vệ mình?

BatLoader lây nhiễm hệ thống của bạn như thế nào?

Các giải pháp đơn giản nhất thường là tốt nhất—ngay cả trong thế giới an ninh mạng. Thay vì thăm dò tường lửa và cổng mở, hoặc thậm chí tung ra một chiến dịch lừa đảo có chủ đích, BatLoader được tích hợp vào bộ cài đặt Windows MSI cho phần mềm kinh doanh phổ biến như Zoom, TeamViewer, LogMeIn và AnyDesk.

Sau đó, bọn tội phạm mua quảng cáo hiển thị ở đầu kết quả tìm kiếm cho phần mềm đó và hướng người dùng đến các trang web giả mạo như logmein-cloud(dot)com. Tên miền cụ thể này đã được đăng ký và lưu trữ ở Nga và đã bị gỡ xuống. Sau đó, nạn nhân tải xuống và thực thi tệp nhị phân, cho phép kẻ tấn công truy cập vào máy tính của nạn nhân.

Sau khi được cài đặt, BatLoader hoạt động cho dù đó là trên máy tính gia đình hay mạng công ty. Mặc dù bọn tội phạm có thể lấy cắp số tiền vừa phải từ các cá nhân, nhưng khả năng xảy ra trộm cắp quy mô lớn và tình trạng hỗn loạn trên PC hoặc mạng doanh nghiệp lớn hơn nhiều.

BatLoader có nguy hiểm cho doanh nghiệp không?

BatLoader cực kỳ nguy hiểm đối với các doanh nghiệp, vì không giống như hầu hết các phần mềm độc hại, nó chỉ được tự động hóa một phần. Sau khi được cài đặt, BatLoader sử dụng các lệnh Living off the Land để tìm nạp thêm phần mềm độc hại.

Nếu nó được triển khai trên một máy tính, BatLoader sẽ tải xuống và cài đặt phần mềm độc hại ngân hàng và phần mềm đánh cắp thông tin. Nếu BatLoader phát hiện nó nằm trên một mạng rộng hơn, nó sẽ cài đặt phần mềm độc hại quản lý và giám sát từ xa. Điều này cho phép kẻ tấn công kiểm soát máy của bạn—cho phép chúng khám phá mạng và thực hiện nhiều hành động hơn. Phương pháp này được hướng dẫn bởi một người hoặc một nhóm người chứ không phải bởi mã bổ sung.

Sau khi những kẻ tấn công có toàn quyền kiểm soát PC hoặc mạng của bạn, thì không cần phải cài đặt thêm bất kỳ phần mềm độc hại nào nữa và chúng có thể sử dụng phần mềm có sẵn như Windows PowerShell, các công cụ tạo tập lệnh và các lệnh trực tiếp để quản trị hệ thống. Đây được gọi là cuộc tấn công Living off the Land (LotL).

Cách ngăn ngừa lây nhiễm BatLoader

BatLoader được phân phối bởi các chương trình cài đặt dành cho PC Windows hiển thị trong quảng cáo phía trên kết quả tìm kiếm.

Quảng cáo có thể mua được, nhưng rất khó đẩy một trang web về sản phẩm giả mạo lên trang nhất của kết quả tìm kiếm—đặc biệt là khi nó cạnh tranh với sản phẩm chính hãng. Bạn chỉ nên tải xuống phần mềm từ trang web chính thức, không phải phần mềm trong quảng cáo.

Bạn cũng nên theo dõi các quy trình hệ thống và giám sát mạng của mình để đảm bảo rằng máy của bạn không nói chuyện với bất kỳ ai mà chúng không nên nói.

Bảo mật là trách nhiệm của mọi người

Thật dễ dàng để nghĩ rằng bảo mật chỉ là trách nhiệm của một bộ phận chuyên trách hoặc một vài cá nhân chuyên biệt trong nhóm của bạn. Tuy nhiên, bảo mật phải là ưu tiên hàng đầu của mọi người trong tổ chức của bạn, bất kể vai trò là gì. Nếu bạn nghĩ rằng có lẽ các kỹ năng của bạn không đủ tốt, hãy cân nhắc tham gia một khóa học an ninh mạng trực tuyến để giúp bảo vệ công ty của bạn hoặc tìm một công việc mới.