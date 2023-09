By

IBM X-Force descubriu un aumento nas capacidades das mostras de malware DBatLoader distribuídas a través de campañas de correo electrónico. Este desenvolvemento supón un maior risco de infección por familias de malware comúns asociadas á actividade de DBatLoader. Desde finais de xuño, X-Force identificou case dúas ducias de campañas de correo electrónico que utilizan o cargador DBatLoader actualizado para entregar cargas útiles como Remcos, Warzone, Formbook e AgentTesla. Estas campañas distribúen troianos de acceso remoto (RAT) e inforobadores comúnmente asociados co malware DBatLoader.

DBatLoader, ou ModiLoader, é un tipo de malware que se observa desde 2020. Utilízase para descargar e executar cargas útiles finais en campañas de malware de mercadorías, incluíndo RAT e infostealers como Remcos, Warzone, Formbook e AgentTesla. Os cibercriminales adoitan usar correos electrónicos de spam maliciosos para implementar DBatLoader e adoitan explotar os servizos na nube para organizar e recuperar cargas útiles adicionais. A principios deste ano, as campañas de DBatLoader centráronse en distribuír Remcos a entidades de Europa do Leste e Formbook e Remcos a empresas de Europa.

Remcos, unha ferramenta de acceso remoto e un programa de vixilancia, úsase habitualmente con fins maliciosos. Permite o acceso non autorizado aos sistemas operativos Windows. Warzone, tamén coñecido como AveMaria, é un troiano de acceso remoto dispoñible para a súa compra no sitio web warzone[.]ws desde 2018. Formbook e AgentTesla son roubos de información populares que se poden atopar nos mercados subterráneos.

Nas recentes campañas observadas por X-Force, os actores da ameaza melloraron as súas tácticas anteriores. Conseguiron o control da infraestrutura de correo electrónico, permitindo que correos electrónicos maliciosos pasen os métodos de autenticación de correo electrónico SPF, DKIM e DMARC. A maioría destas campañas aproveitan OneDrive para organizar e recuperar cargas útiles adicionais. Algunhas campañas usan transfer[.]sh ou dominios novos/comprometidos. Aínda que a maior parte do contido do correo electrónico está dirixido a falantes de inglés, X-Force tamén notou correos electrónicos en español e turco.

DBatLoader segue en desenvolvemento activo e as súas capacidades seguen evolucionando para aumentar a súa eficacia como mecanismo de entrega de malware.

