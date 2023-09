IBM X-Force hat in ferheging ûntdutsen yn 'e mooglikheden fan DBatLoader-malware-samples ferspraat fia e-postkampanjes. Dizze ûntwikkeling stelt in heger risiko op ynfeksje fan mienskiplike malwarefamyljes dy't ferbûn binne mei DBatLoader-aktiviteit. Sûnt ein juny hat X-Force hast twa tsientallen e-postkampanjes identifisearre dy't de bywurke DBatLoader-loader brûke om payloads te leverjen lykas Remcos, Warzone, Formbook en AgentTesla. Dizze kampanjes fersprieden Trojans op ôfstân (RAT's) en infostealers dy't gewoanlik ferbûn binne mei DBatLoader malware.

DBatLoader, of ModiLoader, is in soarte fan malware dat is waarnommen sûnt 2020. It wurdt brûkt om te downloaden en útfiere finale payloads yn commodity malware kampanjes, ynklusyf RATs en infostealers lykas Remcos, Warzone, Formbook, en AgentTesla. Cyberkriminelen brûke faak kweade spam-e-mails om DBatLoader yn te setten, en se eksploitearje faak wolktsjinsten om ekstra payloads op te fieren en op te heljen. Earder dit jier wiene DBatLoader-kampanjes rjochte op it fersprieden fan Remcos oan entiteiten yn East-Jeropa en Formbook en Remcos oan bedriuwen yn Jeropa.

Remcos, in ark foar tagong op ôfstân en tafersjochprogramma, wurdt faak brûkt foar kweade doelen. It jout unautorisearre tagong ta Windows bestjoeringssystemen. Warzone, ek bekend as AveMaria, is in trojan op ôfstân tagong beskikber foar oankeap op 'e webside warzone[.]ws sûnt 2018. Formbook en AgentTesla binne populêre ynformaasjestealers dy't te finen binne op ûndergrûnske merken.

Yn 'e resinte kampanjes waarnommen troch X-Force, hawwe bedrigingsakteurs ferbettere op har eardere taktyk. Se hawwe kontrôle krigen oer e-postynfrastruktuer, wêrtroch kweade e-posten SPF-, DKIM- en DMARC-e-postferifikaasjemetoaden kinne trochjaan. De mearderheid fan dizze kampanjes brûkt OneDrive om ekstra loadloads op te fieren en op te heljen. Guon kampanjes brûke oerdracht[.]sh of nije / kompromittearre domeinen. Wylst de measte e-postynhâld rjochte is op Ingelsktaligen, hat X-Force ek e-postberjochten yn it Spaansk en Turksk opmurken.

DBatLoader bliuwt ûnder aktive ûntwikkeling, en syn mooglikheden bliuwe te ûntwikkeljen om syn effektiviteit te fergrutsjen as in meganisme foar levering fan malware.

boarnen:

- IBM X-Force

– warzone[.]ws