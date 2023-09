By

IBM X-Force har oppdaget en økning i mulighetene til DBatLoader-malwareprøver distribuert gjennom e-postkampanjer. Denne utviklingen utgjør en høyere risiko for infeksjon fra vanlige skadevarefamilier assosiert med DBatLoader-aktivitet. Siden slutten av juni har X-Force identifisert nesten to dusin e-postkampanjer som bruker den oppdaterte DBatLoader-lasteren for å levere nyttelast som Remcos, Warzone, Formbook og AgentTesla. Disse kampanjene distribuerer trojanere med fjerntilgang (RAT) og infostelere som vanligvis er assosiert med DBatLoader malware.

DBatLoader, eller ModiLoader, er en type skadelig programvare som har blitt observert siden 2020. Den brukes til å laste ned og utføre endelige nyttelaster i kampanjer for vareskadevare, inkludert RAT-er og infostelere som Remcos, Warzone, Formbook og AgentTesla. Nettkriminelle bruker ofte ondsinnede spam-e-poster for å distribuere DBatLoader, og de utnytter ofte skytjenester for å iscenesette og hente ytterligere nyttelast. Tidligere i år fokuserte DBatLoader-kampanjer på distribusjon av Remcos til enheter i Øst-Europa og Formbook og Remcos til bedrifter i Europa.

Remcos, et fjerntilgangsverktøy og overvåkingsprogram, brukes ofte til ondsinnede formål. Den tillater uautorisert tilgang til Windows-operativsystemer. Warzone, også kjent som AveMaria, er en fjerntilgangstrojaner som er tilgjengelig for kjøp på nettstedet warzone[.]ws siden 2018. Formbook og AgentTesla er populære informasjonstyvere som kan finnes på underjordiske markeder.

I de nylige kampanjene observert av X-Force, har trusselaktører forbedret sine tidligere taktikker. De har fått kontroll over e-postinfrastrukturen, slik at ondsinnede e-poster kan passere SPF-, DKIM- og DMARC-e-postautentiseringsmetoder. De fleste av disse kampanjene utnytter OneDrive for å iscenesette og hente ytterligere nyttelast. Noen kampanjer bruker overføring[.]sh eller nye/kompromitterte domener. Mens det meste av e-postinnholdet er rettet mot engelsktalende, har X-Force også lagt merke til e-poster på spansk og tyrkisk.

DBatLoader er fortsatt under aktiv utvikling, og dens evner fortsetter å utvikle seg for å øke effektiviteten som en mekanisme for levering av skadelig programvare.

