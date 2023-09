IBM X-Force je odkril povečanje zmogljivosti vzorcev zlonamerne programske opreme DBatLoader, ki se distribuirajo prek e-poštnih kampanj. Ta razvoj predstavlja večje tveganje za okužbo s pogostimi družinami zlonamerne programske opreme, povezane z dejavnostjo DBatLoader. Od konca junija je X-Force identificiral skoraj dva ducata e-poštnih kampanj, ki uporabljajo posodobljeni nalagalnik DBatLoader za dostavo uporabnih tovorov, kot so Remcos, Warzone, Formbook in AgentTesla. Te kampanje distribuirajo trojance z oddaljenim dostopom (RAT) in infostealers, ki so običajno povezani z zlonamerno programsko opremo DBatLoader.

DBatLoader ali ModiLoader je vrsta zlonamerne programske opreme, ki jo opazujemo od leta 2020. Uporablja se za prenos in izvajanje končnih koristnih obremenitev v oglaševalskih akcijah z zlonamerno programsko opremo, vključno z RAT-ji in kradljivci informacij, kot so Remcos, Warzone, Formbook in AgentTesla. Kibernetski kriminalci pogosto uporabljajo zlonamerno neželeno e-pošto za uvedbo DBatLoaderja in pogosto izkoriščajo storitve v oblaku za pripravo in pridobitev dodatnega tovora. V začetku tega leta so se kampanje DBatLoader osredotočile na distribucijo Remcosa subjektom v vzhodni Evropi ter Formbook in Remcos podjetjem v Evropi.

Remcos, orodje za oddaljen dostop in program za nadzor, se pogosto uporablja za zlonamerne namene. Omogoča nepooblaščen dostop do operacijskih sistemov Windows. Warzone, znan tudi kot AveMaria, je trojanec z oddaljenim dostopom, ki ga je mogoče kupiti na spletnem mestu warzone[.]ws od leta 2018. Formbook in AgentTesla sta priljubljena kraja informacij, ki ju je mogoče najti na podzemnih trgih.

V nedavnih kampanjah, ki jih je opazoval X-Force, so akterji groženj izboljšali svoje prejšnje taktike. Pridobili so nadzor nad e-poštno infrastrukturo, kar omogoča zlonamernim e-poštnim sporočilom, da preidejo metode preverjanja pristnosti e-pošte SPF, DKIM in DMARC. Večina teh kampanj uporablja OneDrive za uprizoritev in pridobivanje dodatnega tovora. Nekatere akcije uporabljajo prenos[.]sh ali nove/ogrožene domene. Medtem ko je večina vsebine e-pošte namenjena angleško govorečim, je X-Force opazil tudi e-pošto v španščini in turščini.

DBatLoader je še vedno v aktivnem razvoju in njegove zmogljivosti se še naprej razvijajo, da bi povečale svojo učinkovitost kot mehanizem dostave zlonamerne programske opreme.

Viri:

– IBM X-Force

– vojno območje[.]ws