» data-html=»true» data-original-title=»FormBook»>Formbook по европейские предприятиям через загрузчик вредоносных программ, получивший название DBatLoader.

«Полезная нагрузка вредоносного ПО DBatLoader распространяется через веб-сайты WordPress с авторизованными SSL-сертификатами, что является популярной тактикой, используемой злоумышленниками для уклонения от механизмов обнаружения», — заявили исследователи компании Zscaler в своём отчёте , опубликованном 27 марта.

Выводы исследователей основаны на отчёте SentinelOne от 6 марта, в котором подробно описаны фишинговые электронные письма, содержащие вредоносные вложения, замаскированные под финансовые документы.

DBatLoader, также известный как ModiLoader и NatsoLoader, представляет из себя вредоносное ПО на основе Delphi, способное доставлять дополнительные полезные нагрузки из облачных сервисов, таких как Google Drive и Microsoft OneDrive, а также использовать методы стеганографии изображений для обхода механизмов обнаружения.

Схема доставки RemcosRAT и Formbook через загрузчик DBatLoader

Одним из примечательных аспектов атаки является использование имитации доверенных каталогов, таких как «C:\Windows \System32» (внимание на пробел в конце после «Windows»), для обхода контроля учетных записей (User Account Control (UAC) — это функция безопасности в операционной системе Windows, которая предназначена для защиты от несанкционированного доступа и уменьшения риска вредоносных действий со стороны программ и пользователей.

При работе с компьютером под учётной записью, которая не имеет полных прав администратора, UAC будет выдавать запрос на подтверждение действия, которое может потенциально повлиять на систему. Например, установка программы или изменение настроек.
Это позволяет пользователю контролировать действия программ и принимать осознанные решения о том, какие изменения в системе должны быть разрешены.