By

IBM X-Force on havainnut sähköpostikampanjoiden kautta levitettävien DBatLoader-haittaohjelmanäytteiden ominaisuuksien lisääntymisen. Tämä kehitys aiheuttaa suuremman tartuntariskin DBatLoader-toimintaan liittyvistä yleisistä haittaohjelmaperheistä. Kesäkuun lopusta lähtien X-Force on tunnistanut lähes kaksi tusinaa sähköpostikampanjaa, jotka käyttävät päivitettyä DBatLoader-latainta toimittamaan hyötykuormia, kuten Remcos, Warzone, Formbook ja AgentTesla. Nämä kampanjat jakavat etäkäyttötroijalaisia ​​(RAT) ja tietovarastoja, jotka liittyvät yleisesti DBatLoader-haittaohjelmiin.

DBatLoader tai ModiLoader on eräänlainen haittaohjelma, jota on havaittu vuodesta 2020 lähtien. Sitä käytetään lopullisten hyötykuormien lataamiseen ja suorittamiseen hyödykehaittaohjelmakampanjoissa, mukaan lukien RAT:t ja infovarastot, kuten Remcos, Warzone, Formbook ja AgentTesla. Kyberrikolliset käyttävät usein haitallisia roskapostisähköposteja DBatLoaderin käyttöönottamiseksi, ja he käyttävät usein pilvipalveluja hyväkseen lisähyötykuormien näyttämiseen ja hakemiseen. Aiemmin tänä vuonna DBatLoader-kampanjat keskittyivät Remcojen jakeluun Itä-Euroopan yksiköille ja Formbookin ja Remcojen jakeluun Euroopassa.

Remcosia, etäkäyttötyökalua ja -valvontaohjelmaa, käytetään yleisesti haitallisiin tarkoituksiin. Se mahdollistaa luvattoman pääsyn Windows-käyttöjärjestelmiin. Warzone, joka tunnetaan myös nimellä AveMaria, on etäkäyttöinen troijalainen, joka on ostettavissa verkkosivustolta warzone[.]ws vuodesta 2018 lähtien. Formbook ja AgentTesla ovat suosittuja tiedonvarastajia, joita löytyy maanalaisista markkinoista.

X-Forcen viimeaikaisissa kampanjoissa uhkatoimijat ovat parantaneet aiempaa taktiikkaansa. He ovat saaneet hallintaansa sähköpostiinfrastruktuurin, jolloin haitalliset sähköpostit voivat läpäistä SPF-, DKIM- ja DMARC-sähköpostitodennusmenetelmiä. Suurin osa näistä kampanjoista hyödyntää OneDrivea lisähyötykuormien vaiheittamiseen ja hakemiseen. Jotkin kampanjat käyttävät siirtoa[.]sh tai uusia / vaarantuneita verkkotunnuksia. Suurin osa sähköpostin sisällöstä on suunnattu englanninkielisille, mutta X-Force on huomannut myös espanjan- ja turkkikielisiä sähköposteja.

DBatLoaderia kehitetään edelleen aktiivisesti, ja sen ominaisuudet kehittyvät edelleen lisätäkseen sen tehokkuutta haittaohjelmien jakelumekanismina.

Lähteet:

– IBM X-Force

– warzone[.]ws