IBM X-Force odkrył wzrost możliwości próbek złośliwego oprogramowania DBatLoader dystrybuowanych za pośrednictwem kampanii e-mailowych. Rozwój ten stwarza większe ryzyko infekcji ze strony popularnych rodzin szkodliwego oprogramowania powiązanego z aktywnością DBatLoader. Od końca czerwca firma X-Force zidentyfikowała prawie dwadzieścia kampanii e-mailowych, które wykorzystują zaktualizowany moduł ładujący DBatLoader do dostarczania ładunków takich jak Remcos, Warzone, Formbook i AgentTesla. Kampanie te rozpowszechniają trojany dostępu zdalnego (RAT) i programy kradnące informacje powszechnie powiązane ze złośliwym oprogramowaniem DBatLoader.

DBatLoader, czyli ModiLoader, to rodzaj złośliwego oprogramowania obserwowany od 2020 roku. Służy do pobierania i wykonywania końcowych ładunków w kampaniach komercyjnego szkodliwego oprogramowania, w tym RAT i złodziejach informacji, takich jak Remcos, Warzone, Formbook i AgentTesla. Cyberprzestępcy często wykorzystują złośliwe wiadomości e-mail ze spamem do wdrażania programu DBatLoader i często wykorzystują usługi w chmurze do przygotowywania i pobierania dodatkowych ładunków. Na początku tego roku kampanie DBatLoader skupiały się na dystrybucji produktów Remcos do podmiotów w Europie Wschodniej oraz Formbook i Remcos do firm w Europie.

Remcos, narzędzie do zdalnego dostępu i program monitorujący, jest powszechnie wykorzystywane do złośliwych celów. Umożliwia nieautoryzowany dostęp do systemów operacyjnych Windows. Warzone, znany również jako AveMaria, to trojan zdalnego dostępu, który można kupić w witrynie internetowej warzone[.]ws od 2018 r. Formbook i AgentTesla to popularni złodzieje informacji, których można znaleźć na podziemnych rynkach.

W ostatnich kampaniach obserwowanych przez X-Force ugrupowania zagrażające ulepszyły swoje poprzednie taktyki. Przejęli kontrolę nad infrastrukturą poczty e-mail, umożliwiając złośliwym wiadomościom e-mail przechodzenie przez metody uwierzytelniania poczty elektronicznej SPF, DKIM i DMARC. Większość tych kampanii wykorzystuje usługę OneDrive do przygotowywania i pobierania dodatkowych ładunków. Niektóre kampanie wykorzystują transfer[.]sh lub nowe/zajęte domeny. Chociaż większość treści e-maili jest skierowana do osób mówiących po angielsku, X-Force zauważyła również e-maile w języku hiszpańskim i tureckim.

DBatLoader pozostaje w fazie aktywnego rozwoju, a jego możliwości wciąż ewoluują, aby zwiększyć jego skuteczność jako mechanizmu dostarczania złośliwego oprogramowania.

