隐秘的DBatLoader恶意软件加载器在欧洲传播Remcos RAT和Formbook

一项新的网络钓鱼活动将目光投向了欧洲实体，通过名为DBatLoader的恶意软件加载程序分发Remcos RAT和Formbook。

Zscaler研究人员Meghraj Nandanwar和Satyam Singh在周一发布的一份报告中表示：“恶意软件有效负载通过具有授权SSL证书的WordPress网站分发，这是威胁行为者用来逃避检测引擎的常用策略。”

该调查结果基于SentinelOne上个月的一份报告，该报告详细介绍了包含恶意附件的网络钓鱼电子邮件，这些附件伪装成财务文件以激活感染链。

一些用于分发DBatLoader有效负载的文件格式涉及使用多层混淆的HTML文件和OneNote附件。

自去年年底以来，为了响应微软决定在默认情况下阻止从互联网下载的文件中的宏，这一发展增加了对OneNote文件作为恶意软件分发初始载体的滥用。

DBatLoader，也称为ModiLoader和NatsoLoader，是一种基于Delphi的恶意软件，能够从Google Drive和Microsoft OneDrive等云服务提供后续有效负载，同时还采用图像隐写技术来逃避检测引擎。

攻击的一个值得注意的方面是使用模拟可信目录，例如“C:\Windows\System32”（注意Windows后面的尾随空格）来绕过用户帐户控制(UAC)并提升权限。

这里需要注意的是，目录不能直接从Windows资源管理器用户界面中创建，而是要求攻击者依赖脚本来完成任务并将流氓 DLL和合法的可执行文件(easinvoker.exe)复制到文件夹中易受DLL劫持以加载DLL负载。

这使攻击者能够在不提醒用户的情况下进行提升的活动，包括建立持久性并将“C:\Users”目录添加到Microsoft Defender排除列表以避免被扫描。

为了减轻DBatLoader带来的风险，建议监视涉及带有尾随空格的文件系统路径的进程执行，并考虑将Windows UAC配置为Always notify。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5489.html