Het nieuwe type malware identificeert de gebruiker en past in functie daarvan de malafide software aan.
Onderzoekers bij VMWare Carbon Black en eSentire waarschuwen voor een nieuwe, gevaarlijke malware loader. BatLoader dropt malware op computersystemen en identificeert de gebruikersprofielen. Aan de hand daarvan passen de hackers hun gebruikte software aan. Hacking op maat, met andere woorden.
Moeilijk te detecteren
BatLoader maakt gebruikt van batch en PowerShell-scripts om toegang te krijgen tot en malware te downloaden op de computer van het slachtoffer. Gebruikers die een zoekopdracht uitvoeren klikken op normale downloadlinks, althans zo lijkt het. Die techniek maakt het extreem moeilijk om de malware te detecteren. Zeker omdat de hackers er random slachtoffers uit pikken.
Wanneer BatLoader toeslaat op een persoonlijke computer, dan zal het Ursnif banking malware en de Vidar Information stealer installeren. Identificeert de malware het toestel als een bedrijfstoestel, dan downloadt het Cobalt Strike en de Syncro remote monitoring tool, samen met een banking trojan. Om toegang te krijgen tot die bedrijfscomputers gebruikt BatLoader geïnfecteerde advertenties zoals LogMeIn en Zoom.
Volgens VMWare zijn verschillende aspecten in de werkwijze van BatLoader uniek. Toch ziet het ook links met de gekende Conti ransomware-campagne. Die overlappingen houden onder andere een IP-adres in dat de groep gebruikte in de Log4j kwetsbaarheid. Daarnaast heeft BatLoader ook gelijkenissen met banking trojan ZLoader. Ook hier gebruikten de hackers op het eerste zicht betrouwbare zoekopdrachten om hun ding te doen.