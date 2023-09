IBM X-Force ha descobert un augment de les capacitats de les mostres de programari maliciós DBatLoader distribuïdes mitjançant campanyes de correu electrònic. Aquest desenvolupament suposa un risc més elevat d'infecció de famílies de programari maliciós comuns associades a l'activitat de DBatLoader. Des de finals de juny, X-Force ha identificat gairebé dues dotzenes de campanyes de correu electrònic que utilitzen el carregador DBatLoader actualitzat per lliurar càrregues útils com Remcos, Warzone, Formbook i AgentTesla. Aquestes campanyes distribueixen troians d'accés remot (RAT) i robatoris d'informació habitualment associats amb programari maliciós DBatLoader.

DBatLoader, o ModiLoader, és un tipus de programari maliciós que s'ha observat des del 2020. S'utilitza per descarregar i executar càrregues útils finals en campanyes de programari maliciós de productes bàsics, inclosos RAT i robatoris d'informació com Remcos, Warzone, Formbook i AgentTesla. Els ciberdelinqüents sovint utilitzen correus electrònics de correu brossa maliciosos per implementar DBatLoader i sovint exploten els serveis al núvol per organitzar i recuperar càrregues útils addicionals. A principis d'any, les campanyes de DBatLoader es van centrar a distribuir Remcos a entitats d'Europa de l'Est i Formbook i Remcos a empreses d'Europa.

Remcos, una eina d'accés remot i un programa de vigilància, s'utilitza habitualment amb finalitats malicioses. Permet l'accés no autoritzat als sistemes operatius Windows. Warzone, també conegut com AveMaria, és un troià d'accés remot que es pot comprar al lloc web warzone[.]ws des del 2018. Formbook i AgentTesla són robadors d'informació populars que es poden trobar als mercats subterranis.

En les recents campanyes observades per X-Force, els actors d'amenaça han millorat les seves tàctiques anteriors. Han aconseguit el control de la infraestructura de correu electrònic, permetent que els correus electrònics maliciosos passin els mètodes d'autenticació de correu electrònic SPF, DKIM i DMARC. La majoria d'aquestes campanyes aprofiten OneDrive per organitzar i recuperar càrregues útils addicionals. Algunes campanyes utilitzen transfer[.]sh o dominis nous/compromès. Tot i que la major part del contingut del correu electrònic està dirigit a parlants anglesos, X-Force també ha detectat correus electrònics en espanyol i turc.

DBatLoader continua en desenvolupament actiu i les seves capacitats continuen evolucionant per augmentar la seva eficàcia com a mecanisme de lliurament de programari maliciós.

Fonts:

– IBM X-Force

– zona de guerra[.]ws