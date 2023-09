IBM X-Force ha scoperto un aumento delle capacità dei campioni di malware DBatLoader distribuiti tramite campagne e-mail. Questo sviluppo comporta un rischio maggiore di infezione da parte delle comuni famiglie di malware associate all'attività di DBatLoader. Dalla fine di giugno, X-Force ha identificato quasi due dozzine di campagne e-mail che utilizzano il caricatore DBatLoader aggiornato per fornire payload come Remcos, Warzone, Formbook e AgentTesla. Queste campagne distribuiscono Trojan di accesso remoto (RAT) e infostealer comunemente associati al malware DBatLoader.

DBatLoader, o ModiLoader, è un tipo di malware osservato dal 2020. Viene utilizzato per scaricare ed eseguire payload finali in campagne di malware di base, inclusi RAT e infostealer come Remcos, Warzone, Formbook e AgentTesla. I criminali informatici spesso utilizzano e-mail di spam dannose per implementare DBatLoader e spesso sfruttano i servizi cloud per organizzare e recuperare payload aggiuntivi. All'inizio di quest'anno, le campagne DBatLoader si sono concentrate sulla distribuzione di Remcos alle entità dell'Europa orientale e di Formbook e Remcos alle aziende in Europa.

Remcos, uno strumento di accesso remoto e un programma di sorveglianza, viene comunemente utilizzato per scopi dannosi. Consente l'accesso non autorizzato ai sistemi operativi Windows. Warzone, noto anche come AveMaria, è un trojan di accesso remoto disponibile per l'acquisto sul sito web warzone[.]ws dal 2018. Formbook e AgentTesla sono popolari ladri di informazioni che possono essere trovati nei mercati clandestini.

Nelle recenti campagne osservate da X-Force, gli autori delle minacce hanno migliorato le loro tattiche precedenti. Hanno acquisito il controllo sull'infrastruttura e-mail, consentendo alle e-mail dannose di superare i metodi di autenticazione e-mail SPF, DKIM e DMARC. La maggior parte di queste campagne sfrutta OneDrive per organizzare e recuperare carichi utili aggiuntivi. Alcune campagne utilizzano trasferimenti[.]sh o domini nuovi/compromessi. Sebbene la maggior parte del contenuto delle e-mail sia rivolto a chi parla inglese, X-Force ha notato anche e-mail in spagnolo e turco.

DBatLoader è ancora in fase di sviluppo attivo e le sue funzionalità continuano ad evolversi per aumentare la sua efficacia come meccanismo di distribuzione del malware.

Fonte:

– IBM X-Force

– zona di guerra[.]ws