Nova campanha de phishing utiliza DBatLoader para espalhar malware

São Paulo — InkDesign News — Uma nova campanha de phishing foi detectada, utilizando o Remote Access Trojan (RAT) denominado Remcos, que é entregue via um malware carregador conhecido como DBatLoader. A ciberameaça se destaca pelo uso de técnicas de ofuscação de scripts e contornos para contornar sistemas tradicionais de detecção.

Incidente e vulnerabilidade

Os atacantes distribuem e-mails de phishing que contêm arquivos compactados maliciosos. Quando o arquivo “Faktura.exe” é aberto, ele ativa o DBatLoader, que inicia um ataque complexo utilizando scripts ofuscados. Este ataque é particularmente insidioso devido à utilização de ferramentas fornecidas pelo próprio Windows, como o esentutl.exe, para manipular processos legítimos da máquina. O uso de práticas como a criação de tarefas agendadas e o abuso de técnicas LOLBAS (Living-Off-the-Land Binaries and Scripts) são recorrentes neste vetor de ataque.

Impacto e resposta

O impacto percebido inclui a exploração silenciosa de sistemas, com potenciais vazamentos de dados através da injeção do Remcos em processos legítimos. Isso pode resultar na concessão de controle remoto à organização criminosa. As equipes de segurança foram observadas implementando medidas de contenção, como a análise forense em ambientes de sandbox interativos que permitem monitorar comportamento e atividade de processos ao vivo.

“Com análise em sandbox, especialmente através da ferramenta ANY.RUN, as equipes de segurança podem observar cada etapa da infecção e descobrir técnicas que os scanners estáticos não identificam.”
(“With sandbox analysis, especially through ANY.RUN, security teams gain visibility into every stage of the infection and uncover techniques that static tools miss.”)

— Especialista em Segurança Cibernética, ANY.RUN

Mitigações recomendadas

As principais recomendações incluem a aplicação de patches de segurança relevantes e o treinamento contínuo das equipes em boas práticas de segurança. A implementação de filtros de segurança para e-mails e a análise de técnicas de UAC são igualmente cruciais. Para uma defesa mais robusta, sugere-se a adoção de soluções de sandboxing que possam detectar e analisar comportamentos suspeitos em tempo real.

“A visibilidade em técnicas usadas pelos atacantes pode auxiliar as organizações a se prepararem melhor contra futuras ameaças.”
(“Visibility into attacker techniques helps organizations better prepare for future threats.”)

— Analista de Segurança da Informação, ANY.RUN

Os riscos residuais devido a esta campanha de phishing são consideráveis, e as organizações devem permanecer vigilantes. A continuidade dos esforços de defesa e a revisão de estratégias de mitigação são essenciais para prevenir futuras infecções.

Fonte: (Hack Read – Segurança Cibernética)