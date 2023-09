IBM X-Force hat eine Leistungssteigerung der über E-Mail-Kampagnen verteilten DBatLoader-Malware-Samples festgestellt. Diese Entwicklung birgt ein höheres Infektionsrisiko durch gängige Malware-Familien im Zusammenhang mit der DBatLoader-Aktivität. Seit Ende Juni hat X-Force fast zwei Dutzend E-Mail-Kampagnen identifiziert, die den aktualisierten DBatLoader-Loader nutzen, um Payloads wie Remcos, Warzone, Formbook und AgentTesla zu versenden. Diese Kampagnen verbreiten Fernzugriffstrojaner (RATs) und Infostealer, die häufig mit DBatLoader-Malware in Verbindung gebracht werden.

DBatLoader oder ModiLoader ist eine Art von Malware, die seit 2020 beobachtet wird. Sie wird zum Herunterladen und Ausführen endgültiger Nutzlasten in Standard-Malware-Kampagnen verwendet, darunter RATs und Infostealer wie Remcos, Warzone, Formbook und AgentTesla. Cyberkriminelle verwenden häufig bösartige Spam-E-Mails, um DBatLoader bereitzustellen, und nutzen häufig Cloud-Dienste, um zusätzliche Nutzlasten bereitzustellen und abzurufen. Zu Beginn dieses Jahres konzentrierten sich DBatLoader-Kampagnen auf den Vertrieb von Remcos an Unternehmen in Osteuropa und Formbook und Remcos an Unternehmen in Europa.

Remcos, ein Fernzugriffstool und Überwachungsprogramm, wird häufig für böswillige Zwecke verwendet. Es ermöglicht den unbefugten Zugriff auf Windows-Betriebssysteme. Warzone, auch bekannt als AveMaria, ist ein Fernzugriffstrojaner, der seit 2018 auf der Website warzone[.]ws zum Kauf angeboten wird. Formbook und AgentTesla sind beliebte Informationsdiebstahler, die auf Untergrundmärkten zu finden sind.

In den jüngsten von X-Force beobachteten Kampagnen haben Bedrohungsakteure ihre bisherigen Taktiken verbessert. Sie haben die Kontrolle über die E-Mail-Infrastruktur erlangt und ermöglichen es bösartigen E-Mails, die E-Mail-Authentifizierungsmethoden SPF, DKIM und DMARC zu passieren. Die meisten dieser Kampagnen nutzen OneDrive, um zusätzliche Nutzlasten bereitzustellen und abzurufen. Einige Kampagnen nutzen transfer[.]sh oder neue/kompromittierte Domänen. Während sich die meisten E-Mail-Inhalte an Englischsprachige richten, sind X-Force auch E-Mails auf Spanisch und Türkisch aufgefallen.

DBatLoader befindet sich weiterhin in der aktiven Entwicklung und seine Fähigkeiten entwickeln sich weiter, um seine Wirksamkeit als Mechanismus zur Malware-Verbreitung zu erhöhen.

