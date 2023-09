Natuklasan ng IBM X-Force ang pagtaas sa mga kakayahan ng mga sample ng malware ng DBatLoader na ipinamahagi sa pamamagitan ng mga kampanya sa email. Ang pag-unlad na ito ay nagdudulot ng mas mataas na panganib ng impeksyon mula sa mga karaniwang pamilya ng malware na nauugnay sa aktibidad ng DBatLoader. Mula noong huling bahagi ng Hunyo, natukoy ng X-Force ang halos dalawang dosenang email campaign na gumagamit ng na-update na DBatLoader loader para maghatid ng mga payload gaya ng Remcos, Warzone, Formbook, at AgentTesla. Ang mga campaign na ito ay namamahagi ng remote access Trojans (RATs) at infostealers na karaniwang nauugnay sa DBatLoader malware.

Ang DBatLoader, o ModiLoader, ay isang uri ng malware na naobserbahan mula noong 2020. Ginagamit ito para mag-download at magsagawa ng mga huling payload sa mga commodity malware campaign, kabilang ang mga RAT at infostealers tulad ng Remcos, Warzone, Formbook, at AgentTesla. Ang mga cybercriminal ay madalas na gumagamit ng mga nakakahamak na spam na email upang mag-deploy ng DBatLoader, at madalas nilang sinasamantala ang mga serbisyo ng cloud upang i-stage at kunin ang mga karagdagang payload. Sa unang bahagi ng taong ito, nakatuon ang mga kampanya ng DBatLoader sa pamamahagi ng Remcos sa mga entity sa Eastern Europe at Formbook at Remcos sa mga negosyo sa Europe.

Ang Remcos, isang remote access tool at surveillance program, ay karaniwang ginagamit para sa malisyosong layunin. Pinapayagan nito ang hindi awtorisadong pag-access sa mga operating system ng Windows. Ang Warzone, na kilala rin bilang AveMaria, ay isang remote access trojan na magagamit para mabili sa website na warzone[.]ws mula noong 2018. Ang Formbook at AgentTesla ay mga sikat na magnanakaw ng impormasyon na makikita sa mga underground na merkado.

Sa kamakailang mga kampanyang naobserbahan ng X-Force, ang mga aktor ng pagbabanta ay bumuti sa kanilang mga dating taktika. Nakuha nila ang kontrol sa imprastraktura ng email, na nagpapahintulot sa mga nakakahamak na email na makapasa sa mga pamamaraan ng pagpapatunay ng email ng SPF, DKIM, at DMARC. Ang karamihan sa mga campaign na ito ay gumagamit ng OneDrive sa stage at kumukuha ng mga karagdagang payload. Gumagamit ang ilang campaign ng transfer[.]sh o bago/nakompromisong mga domain. Habang ang karamihan sa nilalaman ng email ay nakatuon sa mga nagsasalita ng Ingles, napansin din ng X-Force ang mga email sa Espanyol at Turkish.

Ang DBatLoader ay nananatiling nasa ilalim ng aktibong pag-unlad, at ang mga kakayahan nito ay patuloy na nagbabago upang mapataas ang pagiging epektibo nito bilang mekanismo ng paghahatid ng malware.

Pinagmumulan:

– IBM X-Force

– warzone[.]ws