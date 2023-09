IBM X-Force a découvert une augmentation des capacités des échantillons de logiciels malveillants DBatLoader distribués via des campagnes par courrier électronique. Ce développement présente un risque plus élevé d'infection par des familles de logiciels malveillants courants associés à l'activité de DBatLoader. Depuis fin juin, X-Force a identifié près de deux douzaines de campagnes par e-mail qui utilisent le chargeur DBatLoader mis à jour pour fournir des charges utiles telles que Remcos, Warzone, Formbook et AgentTesla. Ces campagnes distribuent des chevaux de Troie d'accès à distance (RAT) et des voleurs d'informations généralement associés au malware DBatLoader.

DBatLoader, ou ModiLoader, est un type de malware observé depuis 2020. Il est utilisé pour télécharger et exécuter les charges utiles finales dans les campagnes de malwares courants, notamment les RAT et les infostealers comme Remcos, Warzone, Formbook et AgentTesla. Les cybercriminels utilisent souvent des courriers indésirables malveillants pour déployer DBatLoader et exploitent fréquemment les services cloud pour organiser et récupérer des charges utiles supplémentaires. Plus tôt cette année, les campagnes DBatLoader se sont concentrées sur la distribution de Remcos aux entités d'Europe de l'Est et de Formbook et Remcos aux entreprises d'Europe.

Remcos, un outil d'accès à distance et un programme de surveillance, est couramment utilisé à des fins malveillantes. Il permet un accès non autorisé aux systèmes d'exploitation Windows. Warzone, également connu sous le nom d'AveMaria, est un cheval de Troie d'accès à distance disponible à l'achat sur le site warzone[.]ws depuis 2018. Formbook et AgentTesla sont des voleurs d'informations populaires que l'on peut trouver sur les marchés clandestins.

Au cours des récentes campagnes observées par X-Force, les acteurs malveillants ont amélioré leurs tactiques précédentes. Ils ont pris le contrôle de l'infrastructure de messagerie, permettant aux e-mails malveillants de passer les méthodes d'authentification de messagerie SPF, DKIM et DMARC. La majorité de ces campagnes exploitent OneDrive pour organiser et récupérer des charges utiles supplémentaires. Certaines campagnes utilisent des domaines transférés[.]sh ou nouveaux/compromis. Alors que la plupart du contenu des e-mails est destiné aux anglophones, X-Force a également remarqué des e-mails en espagnol et en turc.

DBatLoader reste en développement actif et ses capacités continuent d'évoluer pour accroître son efficacité en tant que mécanisme de diffusion de logiciels malveillants.

Sources:

– IBM X-Force

– zone de guerre[.]ws