Stando alle ricerche di IBM X-Force stanno aumentando considerevolmente i rischi legati al malware DBatLoader, diffuso in alcune recenti campagne e-mail malevole.
Gli esperti, infatti, hanno registrato dalla fine di giugno più di una ventina di minacce riconducibili a tale agente. Sfruttando tale loader, infatti, vengono diffusi dei payload come Remcos, Warzone, Formbook e AgentTesla.
Nonostante il recente boom, però, è bene considerare come DBatLoader non sia una novità nel settore. Il malware, infatti, era già utilizzato nel 2020 per diffondere trojan di accesso remoto (i famosi RAT) oltre a diversi tipo di infostealer.
Oggi le campagne che coinvolgono il malware vengono spesso intraprese utilizzando e-mail dannose ed è noto che abusano dei servizi cloud per organizzare e recuperare carichi utili aggiuntivi. All’inizio di quest’anno, queste operazioni hanno preso di mira entità nell’Europa orientale per distribuire Remcos e, altre aziende nel resto del continente, per distribuire Remcos e Formbook.
In questo contesto, Remcos è stato registrato nella maggior parte dei casi individuati da X-Force nelle recenti campagne.
DBatLoader permette la diffusione di diversi altri agenti malevoli
Il nome Remcos è l’abbreviazione di Remote Control and Surveillance. Stiamo parlando di uno strumento di accesso remoto offerto in vendita da una società denominata Breaking Security, teoricamente un software legale ma ampiamente utilizzato per scopi dannosi.
Come la maggior parte di questi strumenti remoti, Remcos può essere utilizzato per fornire accesso backdoor ai sistemi operativi Windows. Warzone (noto anche come AveMaria),attivo dal 2018, è un RAT disponibile per l’acquisto direttamente online. Formbook e AgentTesla sono popolari infostealer individuabili, senza troppe difficoltà, nel contesto del Dark Web.
Le recenti campagne osservate da X-Force che forniscono il DBatLoader aggiornato seguono e migliorano anche le tattiche osservate in precedenza, con una maggiore efficienza e un alto tasso di elusività . La maggior parte delle campagne ha sfruttato OneDrive per organizzare e recuperare payload aggiuntivi, con una piccola parte che utilizza domini compromessi. La maggior parte dei contenuti delle e-mail sembravano destinati a persone di lingua inglese, sebbene X-Force abbia osservato anche e-mail in spagnolo e turco.