Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Загрузчик DBatLoader наводнил европейские организации зловредным ПО

29/03/23

Noctilio-leporinus-catches-fish-631

Новая фишинговая кампания распространяет вредоносы RemcosRAT и Formbook по европейские предприятиям через загрузчик вредоносных программ, получивший название DBatLoader.

«Полезная нагрузка вредоносного ПО DBatLoader распространяется через веб-сайты WordPress с авторизованными SSL-сертификатами, что является популярной тактикой, используемой злоумышленниками для уклонения от механизмов обнаружения», — заявили исследователи компании Zscaler в своём отчёте , опубликованном 27 марта.

Выводы исследователей основаны на отчёте SentinelOne от 6 марта, в котором подробно описаны фишинговые электронные письма, содержащие вредоносные вложения, замаскированные под финансовые документы.

DBatLoader, также известный как ModiLoader и NatsoLoader, поясняет Securitylab, представляет из себя вредоносное ПО на основе Delphi, способное доставлять дополнительные полезные нагрузки из облачных сервисов, таких как Google Drive и Microsoft OneDrive, а также использовать методы стеганографии изображений для обхода механизмов обнаружения.

Одним из примечательных аспектов атаки является использование имитации доверенных каталогов, таких как «C:\Windows \System32» (внимание на пробел в конце после «Windows»), для обхода контроля учетных записей (UAC) и автоматического повышения привилегий вредоноса.

Это позволяет злоумышленникам выполнять зловредные действия с повышенными правами, не предупреждая пользователей. В том числе устанавливать постоянство в системе и добавлять каталог «C:\Users » в список исключений Microsoft Defender, чтобы избежать сканирования и обнаружения вредоносного ПО.

Чтобы снизить риски, связанные с DBatLoader, пользователям Windows рекомендуется отслеживать выполнение подозрительных процессов из системных папок с добавлением пробела в названии, а также настроить Windows UAC на значение «Всегда уведомлять».

Темы:ЕвропаWordPressПреступленияфишингSentinelOne
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...