В декабре 2024 года обнаружено распространение вредоносной программы с помощью пакетного файла CAB (*.cmd) для MS Windows.
DBatLoader Malware
Эта программа, известная как ModiLoader (DBatLoader), распространялась через заказы на поставку. Отличие от предыдущих случаев заключается в том, что она использует формат заголовка сжатия CAB для создания и выполнения загрузчика вредоносного программного обеспечения. Злоумышленник изменил заголовок прикрепленного файла, чтобы обойти средства защиты электронной почты. Пакетный файл CMD имеет уникальную структуру, состоящую из CAB-структуры, командных инструкций и исполняемого файла. По указанным командам он может функционировать как загрузчик. Для создания CAB-структуры, которую можно извлечь с помощью extrac32, необходимо правильно задать размер каждого блока. Распространенным способом выполнения вредоносного файла является его распаковка и запуск внутреннего исполняемого файла в папке %temp%. Пользователям рекомендуется быть осторожными при работе с вложенными файлами.
Indicators of Compromise
MD5
- c4a6a2895bdbfab657a516abf9ce7780
- c6fc475a21d8114788d4d0ac4299c317
