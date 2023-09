IBM X-Force huet eng Erhéijung vun de Fäegkeeten vun DBatLoader Malware Echantillon entdeckt, déi iwwer E-Mail Kampagnen verdeelt ginn. Dës Entwécklung stellt e méi héicht Risiko vun enger Infektioun vu gemeinsame Malwarefamilljen mat der DBatLoader Aktivitéit assoziéiert. Zënter Enn Juni huet X-Force bal zwee Dutzend E-Mail Kampagnen identifizéiert déi den aktualiséierten DBatLoader Loader benotze fir Notzlaascht wéi Remcos, Warzone, Formbook an AgentTesla ze liwweren. Dës Kampagnen verdeelen Fernzougang Trojaner (RATs) an Infostealer déi allgemeng mat DBatLoader Malware verbonne sinn.

DBatLoader, oder ModiLoader, ass eng Zort Malware déi zënter 2020 observéiert gouf. Et gëtt benotzt fir endgülteg Notzlaascht an Commodity Malware Kampagnen erofzelueden an auszeféieren, dorënner RATs an Infostealer wéi Remcos, Warzone, Formbook, an AgentTesla. Cyberkrimineller benotzen dacks béiswëlleg Spam-E-Maile fir DBatLoader z'installéieren, a si exploitéieren dacks Cloud-Servicer fir ze bühnen an zousätzlech Notzlaascht ze recuperéieren. Fréier dëst Joer hunn DBatLoader Kampagnen sech op d'Verdeelung vu Remcos un Entitéiten an Osteuropa konzentréiert a Formbook a Remcos un Geschäfter an Europa.

Remcos, e Remote Access Tool an Iwwerwaachungsprogramm, gëtt allgemeng fir béiswëlleg Zwecker benotzt. Et erlaabt onerlaabten Zougang zu Windows Betribssystemer. Warzone, och bekannt als AveMaria, ass e Remote Access Trojaner verfügbar op der Websäit warzone[.]ws zënter 2018. Formbook an AgentTesla si populär Informatiounsstealer déi op ënnerierdesche Mäert fonnt kënne ginn.

An de rezente Kampagnen observéiert vun X-Force, Bedrohungsakteuren hunn hir fréier Taktik verbessert. Si hunn d'Kontroll iwwer d'E-Mailinfrastruktur gewonnen, wat et erlaabt béiswëlleg E-Mailen SPF, DKIM an DMARC E-Mail Authentifikatiounsmethoden ze passéieren. D'Majoritéit vun dëse Kampagnen benotzt OneDrive fir zousätzlech Notzlaascht ze bühnen an ze recuperéieren. E puer Kampagnen benotzen Transfer[.]sh oder nei / kompromittéiert Domainen. Wärend de gréissten Deel vum E-Mail Inhalt op Englesch Spriecher riicht ass, huet X-Force och E-Mailen op Spuenesch an Türkesch gemierkt.

DBatLoader bleift ënner aktiv Entwécklung, a seng Fäegkeeten entwéckelen sech weider fir seng Effektivitéit als Malware Liwwermechanismus ze erhéijen.

