Аналитический центр AhnLab SEcurity (ASEC) сообщает о обнаружении нового вредоносного программного обеспечения, которое распространяется через CMD-файлы. Это вредоносное ПО идентифицировано как загрузчик DBatLoader (ModiLoader), который ранее распространялся через фишинговые электронные письма в формате RAR, содержащие EXE-файлы. Интересно отметить, что файлы содержат символы "FF, FE", что соответствует кодировке "UTF-16LE", и при открытии в текстовом редакторе их содержимое отображается некорректно. Однако после удаления "FF, FE" или преобразования файла в кодировку "UTF-8" код становится видимым.
Этот загрузчик не работает на корейских версиях Windows, а только на английских. Это связано с различиями в кодовых страницах в разных типах операционных систем. Кроме того, сам код DBatLoader обфусцирован, а файл содержит Base64-кодированный EXE-файл. При выполнении CMD-файла он сохраняет файлы cmd.exe и certutil.exe с другими названиями и затем декодирует данные, меняет расширение файла и выполняет его.
Далее исследование показало, что этот тип загрузчика распространяется через фишинговые письма в виде сжатых CMD-файлов, чтобы избежать обнаружения, вместо использования EXE-файлов, как это было ранее.
Indicators of Compromise
MD5
- 8304c3170ad657e61b4352d0e7649b97
- b9c3113bc5b603809dac2515dd03e9fa