Uma nova campanha de phishing está mirando entidades europeias para distribuir o Remcos RAT e o Formbook através de um carregador de malware chamado DBatLoader.
"O payload de malware é distribuída através de sites WordPress que possuem certificados SSL autorizados, que é uma tática comum usada por agentes ameaçadores para evitar motores de detecção", disseram os pesquisadores da Zscaler Meghraj Nandanwar e Satyam Singh em um relatório publicado na segunda-feira.
As descobertas se baseiam em um relatório anterior da SentinelOne no mês passado que detalhou e-mails de phishing contendo anexos maliciosos que se disfarçam como documentos financeiros para ativar a cadeia de infecção.
Alguns dos formatos de arquivo usados para distribuir o payload DBatLoader dizem respeito ao uso de um arquivo HTML ofuscado de várias camadas e anexos do OneNote.
O desenvolvimento adiciona-se ao crescente abuso de arquivos do OneNote como um vetor inicial para distribuição de malware desde o final do ano passado em resposta à decisão da Microsoft de bloquear macros por padrão em arquivos baixados da internet.
O DBatLoader, também chamado ModiLoader e NatsoLoader, é um malware baseado em Delphi capaz de fornecer payloads de serviços em nuvem como Google Drive e Microsoft OneDrive, enquanto adota técnicas de esteganografia de imagem para evitar motores de detecção.
Um aspecto notável do ataque é o uso de diretórios confiáveis falsos, como "C:\Windows\System 32" (observe o espaço após o Windows) para contornar o Controle de Conta de Usuário (UAC) e elevar privilégios.
Uma ressalva aqui é que os diretórios não podem ser criados diretamente a partir da interface do usuário do Windows Explorer, exigindo que o atacante dependa de um script para realizar a tarefa e copiar para a pasta um DLL falsa e um executável legítimo (easinvoker.exe) que é vulnerável a sequestro de DLL para carregar o payload da DLL.
Isso permite que os atacantes realizem atividades elevadas sem alertar os usuários, incluindo o estabelecimento de persistência e a adição do diretório "C:\Users" à lista de exclusão do Microsoft Defender para evitar a verificação.
Para mitigar os riscos apresentados pelo DBatLoader, é aconselhável monitorar as execuções de processos que envolvem caminhos de sistema de arquivos com espaços finais e considerar a configuração do UAC do Windows para Sempre notificar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...