BATLOADER Malware

Volgens een analyse door cybersecurity-experts wordt de BATLOADER-malware door aanvallers gebruikt in de eerste compromitterende fase van de infectieketen. Deze specifieke dreiging is ontworpen om helemaal aan het begin van de aanval te worden geleverd en heeft vervolgens de taak om krachtigere, next-stage payloads op te halen, in te zetten en uit te voeren.

De BATLOADER-malware wordt verspreid via softwarebundels die worden gehost door dubieuze of gecompromitteerde websites. Om hun slachtoffers gerust te stellen en te voorkomen dat ze verdacht worden, verpakken de aanvallers hun bedreigende tool samen met legitieme en vaak gebruikte producten zoals Zoom of TeamViewer.

Zodra BATLOADER zijn voet aan de grond heeft gekregen in de computer waarop het gericht is, levert BATLOADER een volgende malwarebedreiging die afhangt van de doelen van de cybercriminelen. Een van de bedreigingen die door BATLOADER zijn verwijderd, is de Ursnif Trojan (ook gevolgd als Gozim, Dreambot en IFSB) die is uitgerust met meerdere spyware-routines. Het kan toetsaanslagen vastleggen, accountgegevens extraheren, de webactiviteit van de gebruiker bespioneren en meer.

BATLOADER kan ook Cobalt Strike-bakens leveren die de aanvallers via de achterdeur toegang geven tot de gecompromitteerde machine. De legitieme Atera-software die bewakings- en beheerservices op afstand biedt, wordt ook uitgebuit door de BATLOADER-malware.