Аналитический центр AhnLab SEcurity (ASEC) обнаружил распространение вредоносной программы ModiLoader (DBatLoader) через электронные письма.
Описание
Эта программа в конечном итоге запускает вредоносную программу SnakeKeylogger, которая специализируется на краже данных через различные способы передачи информации. Фишинговое письмо на турецком языке, представляющееся отправленным турецким банком, призывает пользователей открыть вложение для проверки транзакций, содержащее вредоносную программу BAT.
DBatLoader создает и запускает вредоносную программу DBatLoader в каталоге %temp% с помощью BAT-кода. Этот код закодирован в Base64. DBatLoader использует различные обфусцированные bat-скрипты и файлы, такие как svchost.pif и netutils.dll, для выполнения кейлоггеров. Программа также использует различные методы для уклонения от обнаружения, создавая легитимные имена файлов и замаскируя свои действия.
SnakeKeylogger, встроенный в легитимные процессы, такие как loader.exe, перехватывает данные, такие как системная информация, нажатия клавиш и буфер обмена. Эксфильтрованная информация передается злоумышленнику через Telegram. Атака DbatLoader выделяется хитростью в использовании обычных процессов и техник, таких как побочная загрузка DLL и инъекции, чтобы обеспечить выполнение своих задач и обмануть обнаружение. Для защиты от подобных атак рекомендуется быть осторожным с фишинговыми письмами, обновлять безопасность продуктов и обеспечивать актуальное состояние систем безопасности.
Индикаторы компрометации
URLs
- https://api.telegram.org/bot8135369946:AAEGf2H0ErFZIOLbSXn5AVeBr_xgB-x1Qmk/sendDocument?chat_id=7009913093
MD5
- 7fa27c24b89cdfb47350ecfd70e30e93
- a0a35155c0daf2199215666b00b9609c
