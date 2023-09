IBM X-Force hà scupertu un aumentu di e capacità di i campioni di malware DBatLoader distribuiti per e campagne di email. Stu sviluppu presenta un risicu più altu di infezzione da e famiglie di malware cumuni assuciati cù l'attività DBatLoader. Dapoi a fini di ghjugnu, X-Force hà identificatu quasi duie decine di campagne di email chì utilizanu u caricatore DBatLoader aghjurnatu per furnisce carichi utili cum'è Remcos, Warzone, Formbook è AgentTesla. Queste campagni distribuiscenu Trojans d'accessu remoto (RAT) è infostealers cumunimenti assuciati cù u malware DBatLoader.

DBatLoader, o ModiLoader, hè un tipu di malware chì hè statu osservatu da 2020. Hè utilizatu per scaricà è eseguisce carichi finali in campagni di malware commodity, cumprese RAT è infostealers cum'è Remcos, Warzone, Formbook è AgentTesla. I cibercriminali spessu usanu email spam maliziusi per implementà DBatLoader, è spessu sfruttanu i servizii di nuvola per mette in scena è ricuperà carichi supplementari. A principiu di questu annu, e campagne di DBatLoader anu focu annantu à a distribuzione di Remcos à entità in l'Europa di l'Est è Formbook è Remcos à l'imprese in Europa.

Remcos, un strumentu d'accessu à distanza è u prugramma di surviglianza, hè comunmente utilizatu per scopi maliziusi. Permette l'accessu micca autorizatu à i sistemi operativi Windows. Warzone, cunnisciutu ancu AveMaria, hè un trojanu d'accessu remotu dispunibule per a compra nantu à u situ web warzone[.]ws dapoi 2018. Formbook è AgentTesla sò populari ladri di informazioni chì ponu esse truvati in i mercati sotterranei.

In e recenti campagne osservate da X-Force, l'attori di minaccia anu migliuratu e so tattiche precedenti. Hanu acquistatu u cuntrollu di l'infrastruttura di e-mail, chì permettenu e-mail maliziusi per passà i metudi di autentificazione di e-mail SPF, DKIM è DMARC. A maiò parte di queste campagne sfruttanu OneDrive per mette in scena è ricuperà carichi supplementari. Certi campagni utilizanu trasferimentu[.]sh o domini novi / cumprumessi. Mentre a maiò parte di u cuntenutu di e-mail hè destinatu à i parlanti inglesi, X-Force hà ancu nutatu emails in spagnolu è turcu.

DBatLoader resta in sviluppu attivu, è e so capacità cuntinueghjanu à evoluzione per aumentà a so efficacità cum'è mecanismu di consegna di malware.

Fonti:

- IBM X-Force

– zona di guerra[.]ws