وضعت حملة تصيد جديدة نصب عينيها على الكيانات الأوروبية لتوزيع Remcos RAT و Formbook عبر أداة تحميل برامج ضارة تسمى DBatLoader .
قال باحثو Zscaler Meghraj Nandanwar و Satyam Singh في تقرير نُشر يوم الاثنين: "يتم توزيع حمولة البرامج الضارة من خلال مواقع WordPress التي أجازت شهادات SSL ، وهو تكتيك شائع يستخدمه المهاجمون للتهرب من محركات الكشف".
تستند النتائج إلى تقرير سابق من SentinelOne الشهر الماضي يفصل رسائل البريد الإلكتروني المخادعة التي تحتوي على مرفقات ضارة تتنكر في شكل مستندات مالية لتنشيط سلسلة العدوى.
تتعلق بعض تنسيقات الملفات المستخدمة لتوزيع حمولة DBatLoader باستخدام ملف HTML مبهم متعدد الطبقات ومرفقات OneNote.
يضيف التطوير إلى إساءة استخدام ملفات OneNote كمتجه أولي لتوزيع البرامج الضارة منذ أواخر العام الماضي استجابةً لقرار Microsoft بحظر وحدات الماكرو افتراضيًا في الملفات التي تم تنزيلها من الإنترنت.
DBatLoader ، المعروف أيضًا باسم ModiLoader و NatsoLoader ، هو برنامج ضار قائم على دلفي قادر على تقديم حمولات متابعة من الخدمات السحابية مثل Google Drive و Microsoft OneDrive ، مع اعتماد تقنيات إخفاء الصور للتهرب من محركات الكشف.
أحد الجوانب الملحوظة للهجوم هو استخدام أدلة موثوقة وهمية مثل "C: \ Windows \ System32" (لاحظ المساحة اللاحقة بعد Windows) لتجاوز التحكم في حساب المستخدم ( UAC ) وتصعيد الامتيازات.
التحذير هنا هو أنه لا يمكن إنشاء الدلائل مباشرة من داخل واجهة مستخدم Windows Explorer ، وبدلاً من ذلك يتطلب من المهاجم الاعتماد على برنامج نصي لإنجاز المهمة ونسخ إلى المجلد DLL خادع وملف تنفيذي شرعي (easinvoker.exe) عرضة لاختطاف DLL من أجل تحميل حمولة DLL.
يتيح ذلك للمهاجمين إجراء أنشطة عالية دون تنبيه المستخدمين ، بما في ذلك إنشاء المثابرة وإضافة دليل "C: \ Users" إلى قائمة استبعاد Microsoft Defender لتجنب التعرض للفحص.
للتخفيف من المخاطر التي يشكلها DBatLoader ، يُنصح بمراقبة عمليات تنفيذ العمليات التي تتضمن مسارات نظام الملفات مع مسافات زائدة والنظر في تكوين Windows UAC للإعلام دائمًا .