BATLoader

Qu'est-ce que BATLoader ?

**BATLoader** est une campagne de malware qui exploite la recherche de logiciels populaires pour piéger les utilisateurs. Les cybercriminels créent des pages web frauduleuses, mais très bien référencées, qui proposent le téléchargement de logiciels courants comme Zoom, AnyDesk, ou Visual Studio.

Mode opératoire de l'attaque BATLoader

Le processus d'infection via BATLoader est particulièrement insidieux :

1. Piège SEO : Les pages frauduleuses sont optimisées pour apparaître en haut des résultats de recherche pour des requêtes de téléchargement de logiciels légitimes.
2. Faux installateur : Lorsqu'un utilisateur clique sur le lien et télécharge le fichier, il obtient ce qu'il pense être un installateur du logiciel désiré. En réalité, ce fichier est un faux installateur contenant le malware BATLoader.
3. Rôle du Dropper : BATLoader agit comme un "dropper". Une fois exécuté sur la machine de la victime, il ne se contente pas d'installer le logiciel légitime (s'il le fait), mais il télécharge et installe également d'autres malwares plus dangereux. Il peut s'agir de :
   • **Cobalt Strike :** Un outil légitime de test d'intrusion souvent détourné par les attaquants pour le contrôle à distance et l'exécution de commandes.
   • **Vidar Stealer :** Un infostealer capable de voler des mots de passe, des informations de cartes de crédit, des portefeuilles de cryptomonnaies, et d'autres données sensibles.

Pourquoi BATLoader est-il si dangereux ?

Ce vecteur d'attaque est redoutable car il est conçu pour paraître totalement légitime jusqu'au moment de l'exécution du fichier. L'utilisateur ne se méfie pas car le téléchargement provient d'un site qui semble fiable et concerne un logiciel qu'il connaît. C'est en tirant parti de cette confiance que les cybercriminels réussissent à compromettre des milliers de systèmes sans que les victimes ne s'en rendent compte immédiatement.