Обход UAC через имитацию доверенных каталогов позволяет вредоносному ПО надолго поселиться в компьютере жертвы.

Новая фишинговая кампания распространяет вредоносы RemcosRAT и Formbook по европейские предприятиям через загрузчик вредоносных программ, получивший название DBatLoader.

«Полезная нагрузка вредоносного ПО DBatLoader распространяется через веб-сайты WordPress с авторизованными SSL-сертификатами, что является популярной тактикой, используемой злоумышленниками для уклонения от механизмов обнаружения», — заявили исследователи компании Zscaler в своём отчёте , опубликованном 27 марта.

Выводы исследователей основаны на отчёте SentinelOne от 6 марта, в котором подробно описаны фишинговые электронные письма, содержащие вредоносные вложения, замаскированные под финансовые документы.

DBatLoader, также известный как ModiLoader и NatsoLoader, представляет из себя вредоносное ПО на основе Delphi, способное доставлять дополнительные полезные нагрузки из облачных сервисов, таких как Google Drive и Microsoft OneDrive, а также использовать методы стеганографии изображений для обхода механизмов обнаружения.

Схема доставки RemcosRAT и Formbook через загрузчик DBatLoader

Одним из примечательных аспектов атаки является использование имитации доверенных каталогов, таких как «C:\Windows \System32» (внимание на пробел в конце после «Windows»), для обхода контроля учетных записей (UAC) и автоматического повышения привилегий вредоноса.

Это позволяет злоумышленникам выполнять зловредные действия с повышенными правами, не предупреждая пользователей. В том числе устанавливать постоянство в системе и добавлять каталог «C:\Users » в список исключений Microsoft Defender, чтобы избежать сканирования и обнаружения вредоносного ПО.

Чтобы снизить риски, связанные с DBatLoader, пользователям Windows рекомендуется отслеживать выполнение подозрительных процессов из системных папок с добавлением пробела в названии, а также настроить Windows UAC на значение «Всегда уведомлять».

Источник: securitylab