Tehdit aktörleri, Remcos Uzaktan Erişim Truva Atı (RAT) ve Formbook ile Avrupa’daki işletmeleri hedeflemek için DBatLoader kötü amaçlı yazılım kampanyasını kullanıyor.
Bir raporda, Zscaler ThreatLabz güvenlik araştırmacıları, kimlik avı e-postaları yoluyla özellikle Avrupa ülkelerindeki işletmeleri hedefleyen, DBatLoader’ı içeren yeni bir kampanyayı ortaya çıkardı.
Araştırma sırasında, kötü amaçlı yazılımın, güvenlik araştırmacılarının “tehdit aktörleri tarafından algılama motorlarından kaçmak için kullanılan yaygın bir taktik” olduğunu belirttiği yetkili SSL sertifikalarına sahip WordPress web siteleri aracılığıyla dağıtıldığı tespit edildi.
Araştırma boyunca araştırmacılar, tehdit aktörünün Remcos RAT ve Formbook’u DBatLoader aracılığıyla dağıtmak için kimlik avı e-postalarını kullandığını da fark etti.
DBatLoader kötü amaçlı yazılım kampanyası Avrupa’yı hedefliyor
SentinelOne tarafından yazılan bir blog gönderisine göre, DBatLoader kullanan kimlik avı kampanyası, kötü amaçlı yazılım barındırmak için genel Bulut’tan yararlanıyor.
Kimlik avı e-postalarının katran biçiminde tuzak ekleri taşıdığı bulundu. lz mali belgeler, faturalar, ihaleler gibi görünen arşivler.
Ekler, çift uzantılı veya uygulama simgeli Microsoft Office, LibreOffice veya PDF biçiminde görünüyor. Kimlik avı e-postalarının göndericisi, güvenilir kurumlardan veya işletmelerden geliyor gibiydi.
Oltalama e-postalarının sıklıkla Avrupalı şirketlerin satış yöneticilerine veya şirketin sosyal medya platformlarında adı geçen e-postalara gönderildiği gözlemlendi. Ayrıca, meşru görünmek için e-postalar, hedef tarafından bilinen saldırıya uğramış özel ve genel e-posta hesabı hizmetlerinden gönderilmiştir.
Avrupa’yı hedefleyen DBatLoader yükü nasıl çalışır?
DBatLoader ile Avrupa’yı hedefleyen kimlik avı e-postalarının çoğu, iyi bilinen alanlardan geliyordu. E-postalardaki metin ya hedeflenen ülkenin dilinde değildi ya da iletişimlerde tamamen gözden kaçıyordu.
Eklerin sıkıştırmasını açtıktan sonra, DBatLoader indirildi ve bir bulut platformunda çalıştırıldı. DBatLoader daha sonra &Public%\Libraries dizininde bir Windows toplu komut dosyası oluşturdu.
Daha sonra, Windows kullanıcı hesabı kontrolünü atladı ve cihazın kullanıcısı tarafından algılanmadan ek görevler gerçekleştirmek için sahte güvenilir dizinler oluşturdu.
DBatLoader’ın ayrıca şunu ekleyerek tespitten kaçtığı da bulundu: C:\Kullanıcılar dizini Microsoft Defender dışlama listesine ekleyin. Daha sonra taranmaktan kurtulur.
Avrupa’yı hedefleyen DBatLoader’ın kendisini kopyalayarak sistemler arasında kalıcılığı koruduğu bulundu. %Halk kütüphaneleri dizin. Remcos, bir otomatik çalıştırma kayıt defteri anahtarı oluşturulduktan sonra yürütüldü – HKEY_CURRENT_USER\Yazılım\Microsoft\Windows\CurrentVersion\Çalıştır DBatLoader’ı çalıştıran.
Remcos RAT ve FormBook, Avrupa şirketlerini hedeflemek için kullanıldı
Remcos RAT’ın ‘SZ5-9-020 Satın Alma Emri’ başlıklı kimlik avı e-postaları aracılığıyla hedefler arasında dolaştığı tespit edildi. Meşru ve resmi görünmek için “Güvenli Belgeyi Görüntüle” yazan bir mesajla e-postada gelir.
FormBook bilgi çalan kötü amaçlı yazılımın, kullanıcılara kötü amaçlı reklamcılık yoluyla yayıldığı ve tuş vuruşlarını yakalayabildiği, hesap kimlik bilgilerini toplayabildiği ve ek kötü amaçlı yazılımlar yükleyebildiği tespit edildi.