Lorsqu'il s'agit de choisir des victimes pour la cybercriminalité, les criminels savent que tout gain potentiel est plus important pour une organisation ou une entreprise que pour un individu. BatLoader cible les entreprises pour une exploitation plus poussée avec les attaques Living off the Land.
Alors, qu'est-ce que le malware BatLoader? Comment infecte-t-il votre appareil? Et comment pouvez-vous vous protéger?
Comment BatLoader infecte-t-il votre système ?
Les solutions les plus simples sont souvent les meilleures, même dans le monde de la cybersécurité. Plutôt que de sonder les pare-feu et les ports ouverts, ou même de se lancer sur un campagne de phishing ciblée, BatLoader est intégré aux programmes d'installation Windows MSI pour les logiciels d'entreprise courants tels que Zoom, TeamViewer, LogMeIn et AnyDesk.
Les criminels achètent ensuite des publicités qui s'affichent en haut des résultats de recherche pour ce logiciel et qui dirigent les utilisateurs vers des sites Web d'imitation tels que logmein-cloud (dot) com. Ce nom de domaine particulier a été enregistré et hébergé en Russie, et a été retiré. La victime télécharge et exécute ensuite le binaire, permettant aux attaquants d'accéder aux ordinateurs des victimes.
Une fois installé, BatLoader détermine s'il se trouve sur un ordinateur personnel ou sur un réseau d'entreprise. Alors que les criminels peuvent être en mesure de voler des quantités modérées à des particuliers, le potentiel de vol et de chaos à grande échelle sur un PC ou un réseau d'entreprise est beaucoup plus grand.
BatLoader est-il dangereux pour les entreprises ?
BatLoader est extrêmement dangereux pour les entreprises, car contrairement à la plupart des logiciels malveillants, il n'est que partiellement automatisé. Une fois installé, BatLoader utilise les commandes Living off the Land pour récupérer plus de logiciels malveillants.
S'il est déployé sur un seul ordinateur, BatLoader téléchargera et installera des logiciels malveillants bancaires et des voleurs d'informations. Si BatLoader détecte qu'il se trouve sur un réseau plus large, il installera un logiciel malveillant de surveillance et de gestion à distance. Cela donne à un attaquant le contrôle de votre machine, ce qui lui permet d'explorer le réseau et d'effectuer plus d'actions. Cette méthode est guidée par une personne ou un groupe de personnes plutôt que par un code supplémentaire.
Une fois que les attaquants ont pris le contrôle total de votre PC ou de votre réseau, il n'est plus nécessaire d'installer d'autres logiciels malveillants, et ils sont capable d'utiliser des logiciels préexistants tels que Windows PowerShell, des outils de script et des commandes directes pour administrer le système. Ceci est connu comme un Attaque Vivre de la terre (LotL).
Comment prévenir une infection par BatLoader
BatLoader est distribué par des programmes d'installation pour les PC Windows qui apparaissent dans les publicités au-dessus des résultats de recherche.
Les publicités peuvent être achetées, mais il est très difficile de pousser un site pour un produit contrefait à la première page des résultats de recherche, surtout lorsqu'il est en concurrence avec le produit authentique. Vous ne devez télécharger que le logiciel du site officiel, pas celui d'une publicité.
Vous devez également garder un œil sur les processus système et surveiller votre réseau pour vous assurer que vos machines ne parlent à personne à qui elles ne devraient pas.
La sécurité est la responsabilité de chacun
Il est facile de penser que la sécurité relève uniquement d'un service dédié ou de quelques personnes spécialisées de votre équipe. Mais la sécurité doit être une priorité absolue pour tous les membres de votre organisation, quel que soit leur rôle. Si vous pensez que vos propres compétences ne sont peut-être pas à la hauteur, envisagez de suivre un cours de cybersécurité en ligne pour aider à protéger votre entreprise ou décrochez un emploi avec un nouveau.