Новости Загрузчик DBatLoader наводнил европейские организации зловредным софтом

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Обход UAC через имитацию доверенных каталогов позволяет вредоносному ПО надолго поселиться в компьютере жертвы.


dn9ebl1w8uf5vz0i13g5cszr4a18zryo.jpg


Новая фишинговая кампания распространяет вредоносы RemcosRAT и Formbook по европейские предприятиям через загрузчик вредоносных программ, получивший название DBatLoader.

«Полезная нагрузка вредоносного ПО DBatLoader распространяется через веб-сайты WordPress с авторизованными SSL-сертификатами, что является популярной тактикой, используемой злоумышленниками для уклонения от механизмов обнаружения», — заявили исследователи компании Zscaler в Для просмотра ссылки Войди или Зарегистрируйся , опубликованном 27 марта.

Выводы исследователей основаны на Для просмотра ссылки Войди или Зарегистрируйся SentinelOne от 6 марта, в котором подробно описаны фишинговые электронные письма, содержащие вредоносные вложения, замаскированные под финансовые документы.

DBatLoader, также известный как ModiLoader и NatsoLoader, представляет из себя вредоносное ПО на основе Delphi, способное доставлять дополнительные полезные нагрузки из облачных сервисов, таких как Google Drive и Microsoft OneDrive, а также использовать методы стеганографии изображений для обхода механизмов обнаружения.


g0ocu41jue0cfsivfxvc49hgchpa2mgk.png


Схема доставки RemcosRAT и Formbook через загрузчик DBatLoader

Одним из примечательных аспектов атаки является использование имитации доверенных каталогов, таких как «C:\Windows \System32» (внимание на пробел в конце после «Windows»), для обхода контроля учетных записей ( UAC ) и автоматического повышения привилегий вредоноса.

Это позволяет злоумышленникам выполнять зловредные действия с повышенными правами, не предупреждая пользователей. В том числе устанавливать постоянство в системе и добавлять каталог «C:\Users » в список исключений Microsoft Defender, чтобы избежать сканирования и обнаружения вредоносного ПО.

Чтобы снизить риски, связанные с DBatLoader, пользователям Windows рекомендуется отслеживать выполнение подозрительных процессов из системных папок с добавлением пробела в названии, а также настроить Windows UAC на значение «Всегда уведомлять».
 
Источник новости
www.securitylab.ru

Похожие темы