Una nueva campaña de phishing ha puesto su mirada en las entidades europeas para distribuir Remcos RAT y Formbook a través de un cargador de malware denominado DBBatLoader.
«La carga de malware se distribuye a través de sitios web de WordPress que tienen certificados SSL autorizados, que es una táctica común utilizada por los actores de amenazas para evadir los motores de detección», los investigadores de Zscaler Meghraj Nandanwar y Satyam Singh. dicho en un informe publicado el lunes.
Los hallazgos se basan en un informe anterior de SentinelOne el mes pasado que detallaba correos electrónicos de phishing que contenían archivos adjuntos maliciosos que se hacen pasar por documentos financieros para activar la cadena de infección.
Algunos de los formatos de archivo utilizados para distribuir la carga útil de DBatLoader se refieren al uso de un archivo HTML ofuscado de varias capas y archivos adjuntos de OneNote.
El desarrollo se suma a creciente abuso de los archivos de OneNote como vector inicial para la distribución de malware desde finales del año pasado en respuesta a la decisión de Microsoft de bloquear las macros por defecto en los archivos descargados de Internet.
DBatLoader, también llamado ModiLoader y NatsoLoader, es un malware basado en Delphi que es capaz de entregar cargas útiles de seguimiento desde servicios en la nube como Google Drive y Microsoft OneDrive, al mismo tiempo que adopta técnicas de esteganografía de imágenes para evadir los motores de detección.
Un aspecto notable del ataque es la uso de directorios de confianza simulados como «C:WindowsSystem32» (tenga en cuenta el espacio final después de Windows) para omitir el Control de cuentas de usuario (UAC) y escalar privilegios.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Una advertencia aquí es que los directorios no se pueden crear directamente desde la interfaz de usuario del Explorador de Windows, sino que requieren que el atacante confíe en un script para realizar la tarea y copie en la carpeta una DLL no autorizada y un ejecutable legítimo (easinvoker.exe) que es vulnerable al secuestro de DLL para cargar la carga útil de DLL.
Esto permite a los atacantes realizar actividades elevadas sin alertar a los usuarios, lo que incluye establecer la persistencia y agregar el directorio «C:Users» a la lista de exclusión de Microsoft Defender para evitar que se analice.
Para mitigar los riesgos que presenta DBatLoader, se recomienda monitorear las ejecuciones de procesos que involucran rutas del sistema de archivos con espacios finales y considerar configurar Windows UAC para Siempre avisar.