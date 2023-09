IBM X-Force het 'n toename in die vermoëns van DBatLoader-wanwaremonsters ontdek wat deur e-posveldtogte versprei word. Hierdie ontwikkeling hou 'n hoër risiko in vir infeksie van algemene wanwarefamilies wat met DBatLoader-aktiwiteit geassosieer word. Sedert einde Junie het X-Force byna twee dosyn e-posveldtogte geïdentifiseer wat die opgedateerde DBatLoader-laaier gebruik om loonvragte soos Remcos, Warzone, Formbook en AgentTesla af te lewer. Hierdie veldtogte versprei afstandtoegang-trojane (RAT's) en inligtingstelers wat gewoonlik met DBatLoader-wanware geassosieer word.

DBatLoader, of ModiLoader, is 'n tipe wanware wat sedert 2020 waargeneem word. Dit word gebruik om finale loonvragte in kommoditeit-wanware-veldtogte af te laai en uit te voer, insluitend RAT's en inligtingstelers soos Remcos, Warzone, Formbook en AgentTesla. Kubermisdadigers gebruik dikwels kwaadwillige strooipos-e-posse om DBatLoader te ontplooi, en hulle ontgin gereeld wolkdienste om bykomende loonvragte te verhoog en te herwin. Vroeër vanjaar het DBatLoader-veldtogte gefokus op die verspreiding van Remcos na entiteite in Oos-Europa en Formbook en Remcos na besighede in Europa.

Remcos, 'n afstandtoegangshulpmiddel en toesigprogram, word algemeen vir kwaadwillige doeleindes gebruik. Dit laat ongemagtigde toegang tot Windows-bedryfstelsels toe. Warzone, ook bekend as AveMaria, is 'n afstandtoegang-trojaan wat sedert 2018 op die webwerf warzone[.]ws te koop is. Formbook en AgentTesla is gewilde inligtingstelers wat op ondergrondse markte gevind kan word.

In die onlangse veldtogte wat deur X-Force waargeneem is, het bedreigingsakteurs hul vorige taktiek verbeter. Hulle het beheer oor e-posinfrastruktuur verkry, wat kwaadwillige e-posse toelaat om SPF-, DKIM- en DMARC-e-posverifikasiemetodes deur te gee. Die meerderheid van hierdie veldtogte maak gebruik van OneDrive om bykomende loonvragte op te voer en te herwin. Sommige veldtogte gebruik oordrag[.]sh of nuwe/gekompromitteerde domeine. Terwyl die meeste van die e-posinhoud op Engelssprekendes gemik is, het X-Force ook e-posse in Spaans en Turks opgemerk.

DBatLoader bly onder aktiewe ontwikkeling, en sy vermoëns gaan voort om te ontwikkel om die doeltreffendheid daarvan as 'n wanware afleweringsmeganisme te verhoog.

Bronne:

– IBM X-Force

– oorlogsone[.]ws