Από τα τέλη Ιουνίου, ερευνητές παρατήρησαν σχεδόν δύο δεκάδες εκστρατείες ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν συνδυασμό γνωστού φορτωτή κακόβουλου λογισμικού (DBatLoader), παγίδες που σχετίζονται με παραγγελίες αποστολής και αιτήματα αγοράς, καθώς και διάφορες νόμιμες υπηρεσίες όπως το OneDrive, προκειμένου να παραδίδουν μια σειρά από οικογένειες malware.
Δείτε επίσης: Ιρανοί hackers στοχεύουν οργανισμούς με password spraying επιθέσεις
Το κακόβουλο λογισμικό φορτωτή, DBatLoader, χρησιμοποιείται από το 2020 και έχει χρησιμοποιηθεί σε καμπάνιες malspam για την παράδοση διαφόρων RAT και infostealers. Σε αυτές τις πιο πρόσφατες καμπάνιες, το κακόβουλο λογισμικό χρησιμοποίησε πολλές νέες τεχνικές για την ανάπτυξη του Remcos, το οποίο χρησιμοποιείται για την παροχή πρόσβασης backdoor στα λειτουργικά συστήματα Windows, το Warzone ένα trojan απομακρυσμένης πρόσβασης και οι κλέφτες πληροφοριών Formbook και AgentTesla. Οι εισβολείς χρησιμοποίησαν το OneDrive, καθώς και νέα ή παραβιασμένα domain, για τη σταδιοποίηση και την ανάκτηση πρόσθετων ωφέλιμων φορτίων.
Δείτε επίσης: Δύο νοσοκομεία της Νέας Υόρκης αντιμετωπίζουν προβλήματα μετά την επίθεση ransomware LockBit
Οι ερευνητές προειδοποίησαν τις επιχειρήσεις ότι αυτές οι πρόσφατες εκστρατείες υποδεικνύουν αυξημένο κίνδυνο μόλυνσης από οικογένειες malware που σχετίζονται με τη δραστηριότητα του φορτωτή.
Οι δυνατότητες του κακόβουλου λογισμικού περιλαμβάνουν την παράκαμψη του UAC και τακτικές διατήρησης, διάφορες τεχνικές εισαγωγής διεργασιών και process hollowing. Το DBatLoader υποστηρίζει και την εισαγωγή φορτίων shellcode. Επιπλέον, σε αρκετές επιθέσεις, οι ερευνητές ανέφεραν ότι οι χάκερ είχαν “επαρκή έλεγχο των υποδομών ηλεκτρονικού ταχυδρομείου για να επιτρέψουν στα κακόβουλα ηλεκτρονικά μηνύματα να περάσουν από τις μεθόδους επαλήθευσης ταυτότητας SPF, DKIM και DMARC”.
Οι ερευνητές ανέφεραν ότι το malware εξακολουθεί να βρίσκεται υπό ενεργή ανάπτυξη, καθώς επισήμαναν τις αποτυχημένες προσπάθειες της τελευταίας του έκδοσης για DLL hooking σε επιθέσεις.
Ενώ οι καμπάνιες του DBatLoader επικεντρώθηκαν σε οργανισμούς στην Ευρώπη και την Ανατολική Ευρώπη νωρίτερα μέσα στην χρονιά, σύμφωνα με τους ερευνητές, σε αυτήν την πρόσφατη καμπάνια η πλειονότητα του περιεχομένου των ηλεκτρονικών μηνυμάτων φαίνεται να επικεντρώνεται σε αγγλόφωνους (αν και ορισμένα μηνύματα ήταν στα ισπανικά και τα τουρκικά). Τα κακόβουλα email χρησιμοποίησαν είτε ISO εικόνες είτε αρχεία αρχειοθέτησης (.tar, .zip ή .rar) για να μεταφέρουν το DBatLoader. Τα δελτία των email, από την άλλη, σχετίζονταν με παραγγελίες αποστολής, τιμολόγηση, αιτήσεις αγοράς ή ερωτήσεις περί αυτών.
Πηγή πληροφοριών: duo.com
