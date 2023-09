IBM X-Force heeft een toename ontdekt in de mogelijkheden van DBatLoader-malwaremonsters die via e-mailcampagnes worden verspreid. Deze ontwikkeling brengt een hoger risico met zich mee op infectie door veelvoorkomende malwarefamilies die verband houden met DBatLoader-activiteit. Sinds eind juni heeft X-Force bijna twintig e-mailcampagnes geïdentificeerd die gebruik maken van de bijgewerkte DBatLoader-lader om payloads zoals Remcos, Warzone, Formbook en AgentTesla te leveren. Deze campagnes verspreiden Trojaanse paarden voor externe toegang (RAT's) en infostealers die vaak worden geassocieerd met DBatLoader-malware.

DBatLoader, of ModiLoader, is een type malware dat sinds 2020 wordt waargenomen. Het wordt gebruikt om de laatste payloads te downloaden en uit te voeren in commodity-malwarecampagnes, waaronder RAT's en infostealers zoals Remcos, Warzone, Formbook en AgentTesla. Cybercriminelen gebruiken vaak kwaadaardige spam-e-mails om DBatLoader in te zetten, en maken vaak misbruik van cloudservices om extra payloads te organiseren en op te halen. Eerder dit jaar waren de DBatLoader-campagnes gericht op de distributie van Remcos naar entiteiten in Oost-Europa en Formbook en Remcos naar bedrijven in Europa.

Remcos, een tool voor externe toegang en bewakingsprogramma, wordt vaak gebruikt voor kwaadaardige doeleinden. Het maakt ongeautoriseerde toegang tot Windows-besturingssystemen mogelijk. Warzone, ook bekend als AveMaria, is een trojan voor externe toegang die sinds 2018 te koop is op de website warzone[.]ws. Formbook en AgentTesla zijn populaire informatiestelers die op ondergrondse markten te vinden zijn.

In de recente campagnes die X-Force observeerde, hebben bedreigingsactoren hun eerdere tactieken verbeterd. Ze hebben controle gekregen over de e-mailinfrastructuur, waardoor kwaadaardige e-mails de e-mailauthenticatiemethoden SPF, DKIM en DMARC kunnen passeren. Het merendeel van deze campagnes maakt gebruik van OneDrive om extra payloads op te zetten en op te halen. Sommige campagnes maken gebruik van transfer[.]sh of nieuwe/gecompromitteerde domeinen. Hoewel de meeste e-mailinhoud gericht is op Engelssprekenden, heeft X-Force ook e-mails in het Spaans en Turks opgemerkt.

DBatLoader wordt nog steeds actief ontwikkeld en de mogelijkheden ervan blijven evolueren om de effectiviteit ervan als mechanisme voor het afleveren van malware te vergroten.

Bronnen:

– IBM X-Force

– oorlogsgebied[.]ws