Από τα τέλη Ιουνίου, ερευνητές παρατήρησαν σχεδόν δύο δεκάδες εκστρατείες ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν συνδυασμό γνωστού φορτωτή κακόβουλου λογισμικού (DBatLoader), παγίδες που σχετίζονται με παραγγελίες αποστολής και αιτήματα αγοράς, καθώς και διάφορες νόμιμες υπηρεσίες όπως το OneDrive, προκειμένου να παραδίδουν μια σειρά από οικογένειες malware.
See also: Iranian hackers target organisations with password spraying attacks
Το κακόβουλο λογισμικό φορτωτή, DBatLoader, χρησιμοποιείται από το 2020 και έχει χρησιμοποιηθεί σε καμπάνιες malspam για την παράδοση διαφόρων RAT και infostealers. Σε αυτές τις πιο πρόσφατες καμπάνιες, το κακόβουλο λογισμικό χρησιμοποίησε πολλές νέες τεχνικές για την ανάπτυξη του Remcos, το οποίο χρησιμοποιείται για την παροχή πρόσβασης backdoor στα λειτουργικά συστήματα Windows, το Warzone ένα trojan απομακρυσμένης πρόσβασης και οι κλέφτες πληροφοριών Formbook και AgentTesla. Οι εισβολείς χρησιμοποίησαν το OneDrive, καθώς και νέα ή παραβιασμένα domain, για τη σταδιοποίηση και την ανάκτηση πρόσθετων ωφέλιμων φορτίων.
See also: Two New York hospitals face problems after LockBit ransomware attack
Οι ερευνητές προειδοποίησαν τις επιχειρήσεις ότι αυτές οι πρόσφατες εκστρατείες υποδεικνύουν αυξημένο κίνδυνο μόλυνσης από οικογένειες malware που σχετίζονται με τη δραστηριότητα του φορτωτή.
Οι δυνατότητες του κακόβουλου λογισμικού περιλαμβάνουν την παράκαμψη του UAC και τακτικές διατήρησης, διάφορες τεχνικές εισαγωγής διεργασιών και process hollowing. Το DBatLoader υποστηρίζει και την εισαγωγή φορτίων shellcode. Επιπλέον, σε αρκετές επιθέσεις, οι ερευνητές ανέφεραν ότι οι χάκερ είχαν “επαρκή έλεγχο των υποδομών ηλεκτρονικού ταχυδρομείου για να επιτρέψουν στα κακόβουλα ηλεκτρονικά μηνύματα to spend από τις μεθόδους επαλήθευσης ταυτότητας SPF, DKIM και DMARC”.
Οι ερευνητές ανέφεραν ότι το malware εξακολουθεί να βρίσκεται υπό ενεργή ανάπτυξη, καθώς επισήμαναν τις αποτυχημένες προσπάθειες της τελευταίας του έκδοσης για DLL hooking σε επιθέσεις.
Ενώ οι καμπάνιες του DBatLoader επικεντρώθηκαν σε οργανισμούς στην Ευρώπη και την Ανατολική Ευρώπη νωρίτερα μέσα στην χρονιά, σύμφωνα με τους ερευνητές, σε αυτήν την πρόσφατη καμπάνια η πλειονότητα του περιεχομένου των ηλεκτρονικών μηνυμάτων φαίνεται να επικεντρώνεται σε αγγλόφωνους (αν και ορισμένα μηνύματα ήταν στα Spanish και τα τουρκικά). Τα κακόβουλα email χρησιμοποίησαν είτε ISO εικόνες είτε αρχεία αρχειοθέτησης (.tar, .zip ή .rar) για να μεταφέρουν το DBatLoader. Τα δελτία των email, από την άλλη, σχετίζονταν με παραγγελίες αποστολής, τιμολόγηση, αιτήσεις αγοράς ή ερωτήσεις περί αυτών.
Πηγή πληροφοριών: duo.com
