یک کمپین SEO poisoning مشاهده و کشف شده است که از اعتماد به ابزارهای نرم‌افزاری قانونی سوءاستفاده می‌کند تا کاربران را برای دانلود و نصب بدافزار BATLOADER در ماشین‌های در معرض خطر فریب دهد.
پژوهشگران Mandiant در گزارشی که این هفته منتشر شد، گفتند: مهاجم از مضامین «free software development tools installation» یا «free productivity apps installation» به عنوان کلیدواژه‌های سئو برای جذب قربانیان به یک وب‌سایت در معرض خطر و دانلود یک Installer مخرب استفاده می‌کند.

در حملات SEO poisoning مهاجم به طور مصنوعی رتبه موتور جستجوی وب‌سایت‌هایی را که میزبان بدافزار خود هستند افزایش می‌دهند تا آنها را در بالای نتایج جستجو نشان دهند تا کاربرانی که برنامه‌های خاصی مانند TeamViewer، Visual Studio و Zoom را جستجو می‌کنند را با انواع بدافزار آلوده کنند.
یکی از این فایل‌های اجرایی، نسخه دستکاری شده یک جزء داخلی مایکروسافت ویندوز است که به VBScript مخرب اضافه شده است.

این حمله متعاقباً از تکنیکی به نام signed binary proxy execution برای اجرای فایل DLL با استفاده از ابزار قانونی "Mshta.exe" استفاده می‌کند.
این پروسه منجر به اجرای کد VBScript می‌شود و مرحله بعدی حمله را آغاز می‌کند که در آن Payloadهای اضافی مانند Atera Agent، Cobalt Strike Beacon و Ursnif در مراحل بعدی برای کمک به انجام شناسایی از راه دور، افزایش امتیاز و غیره بارگیری می‌شوند.