Cybersecurityonderzoekers hebben uitgebreide phishingcampagnes beschreven die in mei 2024 in Polen op kleine en middelgrote bedrijven (MKB) waren gericht en die leidden tot de inzet van verschillende malwarefamilies, zoals Agent Tesla, Formbook en Remcos RAT.
Volgens cybersecuritybedrijf ESET zijn ook Italië en Roemenië de regio’s waarop de campagnes zich richten.
“Aanvallers gebruikten eerder gecompromitteerde e-mailaccounts en bedrijfsservers, niet alleen om schadelijke e-mails te verspreiden, maar ook om malware te hosten en gestolen gegevens te verzamelen”, aldus ESET-onderzoeker Jakub Kaloč in een vandaag gepubliceerd rapport.
Deze campagnes, verspreid over negen golven, vallen op door het gebruik van een malware-loader genaamd DBatLoader (ook bekend als ModiLoader en NatsoLoader) om de uiteindelijke payloads te leveren.
Volgens het Slowaakse cybersecuritybedrijf is dit een afwijking van eerdere aanvallen die in de tweede helft van 2023 werden waargenomen en die gebruikmaakten van een cryptors-as-a-service (CaaS) genaamd AceCryptor om Remcos RAT (ook bekend als Rescoms) te verspreiden.
“In de tweede helft van (2023) werd Rescoms de meest voorkomende malwarefamilie die door AceCryptor werd verpakt”, merkte ESET op in maart 2024. “Meer dan de helft van deze pogingen vond plaats in Polen, gevolgd door Servië, Spanje, Bulgarije en Slowakije.”
Het uitgangspunt van de aanvallen waren phishingmails met daarin RAR- of ISO-bijlagen vol malware. Bij het openen van de e-mails werd een meerstappenproces geactiveerd om de trojan te downloaden en te starten.
In gevallen waarin een ISO-bestand was bijgevoegd, leidde dit direct tot de uitvoering van DBatLoader. Het RAR-archief bevatte daarentegen een verduisterd Windows-batchscript met daarin een Base64-gecodeerd ModiLoader-uitvoerbaar bestand dat is vermomd als een PEM-gecodeerde certificaatintrekkingslijst.
DBatLoader is een Delphi-gebaseerde downloader die primair is ontworpen om de volgende fase van malware te downloaden en te starten vanaf Microsoft OneDrive of gecompromitteerde servers van legitieme bedrijven.
Ongeacht welke malware er wordt ingezet, Agent Tesla, Formbook en Remcos RAT beschikken over de mogelijkheid om gevoelige informatie te stelen, waardoor kwaadwillenden zich kunnen voorbereiden op hun volgende campagnes.
Deze ontwikkeling komt nadat Kaspersky onthulde dat cybercriminelen steeds vaker MKB-bedrijven aanvallen. Dit komt doordat ze niet over robuuste cyberbeveiligingsmaatregelen beschikken en over beperkte middelen en expertise.
“Trojaanse aanvallen blijven de meest voorkomende cyberdreiging, wat aangeeft dat aanvallers zich nog steeds richten op het mkb en malware verkiezen boven ongewenste software”, aldus de Russische beveiligingsleverancier vorige maand.
“Trojans zijn bijzonder gevaarlijk omdat ze legitieme software nabootsen, waardoor ze moeilijker te detecteren en te voorkomen zijn. Hun veelzijdigheid en vermogen om traditionele beveiligingsmaatregelen te omzeilen, maken ze een veelvoorkomend en effectief hulpmiddel voor cyberaanvallers.”
