Loader de malware DBatLoader está espalhando Remcos RAT e Formbook na Europa
28 de Março de 2023

Uma nova campanha de phishing está mirando entidades europeias para distribuir o Remcos RAT e o Formbook através de um carregador de malware chamado DBatLoader.

"O payload de malware é distribuída através de sites WordPress que possuem certificados SSL autorizados, que é uma tática comum usada por agentes ameaçadores para evitar motores de detecção", disseram os pesquisadores da Zscaler Meghraj Nandanwar e Satyam Singh em um relatório publicado na segunda-feira.

As descobertas se baseiam em um relatório anterior da SentinelOne no mês passado que detalhou e-mails de phishing contendo anexos maliciosos que se disfarçam como documentos financeiros para ativar a cadeia de infecção.

Alguns dos formatos de arquivo usados para distribuir o payload DBatLoader dizem respeito ao uso de um arquivo HTML ofuscado de várias camadas e anexos do OneNote.

O desenvolvimento adiciona-se ao crescente abuso de arquivos do OneNote como um vetor inicial para distribuição de malware desde o final do ano passado em resposta à decisão da Microsoft de bloquear macros por padrão em arquivos baixados da internet.

O DBatLoader, também chamado ModiLoader e NatsoLoader, é um malware baseado em Delphi capaz de fornecer payloads de serviços em nuvem como Google Drive e Microsoft OneDrive, enquanto adota técnicas de esteganografia de imagem para evitar motores de detecção.

Um aspecto notável do ataque é o uso de diretórios confiáveis falsos, como "C:\Windows\System 32" (observe o espaço após o Windows) para contornar o Controle de Conta de Usuário (UAC) e elevar privilégios.

Uma ressalva aqui é que os diretórios não podem ser criados diretamente a partir da interface do usuário do Windows Explorer, exigindo que o atacante dependa de um script para realizar a tarefa e copiar para a pasta um DLL falsa e um executável legítimo (easinvoker.exe) que é vulnerável a sequestro de DLL para carregar o payload da DLL.

Isso permite que os atacantes realizem atividades elevadas sem alertar os usuários, incluindo o estabelecimento de persistência e a adição do diretório "C:\Users" à lista de exclusão do Microsoft Defender para evitar a verificação.

Para mitigar os riscos apresentados pelo DBatLoader, é aconselhável monitorar as execuções de processos que envolvem caminhos de sistema de arquivos com espaços finais e considerar a configuração do UAC do Windows para Sempre notificar.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...