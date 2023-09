IBM X-Force on avastanud meilikampaaniate kaudu levitatavate DBatLoaderi pahavaranäidiste võimekuse suurenemise. See areng kujutab endast suuremat nakatumisohtu DBatLoaderi tegevusega seotud tavaliste pahavaraperekondade poolt. Alates juuni lõpust on X-Force tuvastanud peaaegu kaks tosinat meilikampaaniat, mis kasutavad uuendatud DBatLoaderi laadijat, et edastada kasulikke koormusi, nagu Remcos, Warzone, Formbook ja AgentTesla. Need kampaaniad levitavad kaugjuurdepääsu troojalasi (RAT) ja infovarastajaid, mida tavaliselt seostatakse DBatLoaderi pahavaraga.

DBatLoader ehk ModiLoader on pahavara tüüp, mida on täheldatud alates 2020. aastast. Seda kasutatakse kauba pahavarakampaaniate, sealhulgas RAT-ide ja infovarastajate, nagu Remcos, Warzone, Formbook ja AgentTesla, lõplike koormuste allalaadimiseks ja täitmiseks. Küberkurjategijad kasutavad DBatLoaderi juurutamiseks sageli pahatahtlikke rämpsposte ning kasutavad sageli pilveteenuseid täiendavate koormuste lavastamiseks ja toomiseks. Selle aasta alguses keskendusid DBatLoaderi kampaaniad Remcode levitamisele Ida-Euroopa üksustele ning Formbookide ja Remcode levitamisele Euroopa ettevõtetele.

Kaugjuurdepääsu tööriista ja seireprogrammi Remcos kasutatakse sageli pahatahtlikel eesmärkidel. See võimaldab volitamata juurdepääsu Windowsi operatsioonisüsteemidele. Warzone, tuntud ka kui AveMaria, on kaugjuurdepääsuga troojalane, mida saab osta veebisaidilt warzone[.]ws alates 2018. aastast. Formbook ja AgentTesla on populaarsed teabevarastajad, mida võib leida maa-alustelt turgudelt.

X-Force'i hiljutiste kampaaniate käigus on ohus osalejad oma varasemat taktikat parandanud. Nad on saavutanud kontrolli e-posti infrastruktuuri üle, võimaldades pahatahtlikel meilidel läbida SPF-, DKIM- ja DMARC-meili autentimismeetodid. Enamik neist kampaaniatest kasutab OneDrive'i lisakoormuste lavastamiseks ja toomiseks. Mõned kampaaniad kasutavad teisaldamist[.]sh või uusi/rühistatud domeene. Kui suurem osa meili sisust on suunatud inglise keele kõnelejatele, siis X-Force on märganud ka hispaania- ja türgikeelseid kirju.

DBatLoader on jätkuvalt aktiivses arenduses ja selle võimalused arenevad jätkuvalt, et suurendada selle tõhusust pahavara edastamise mehhanismina.

