九起利用 DBatLoader 恶意软件的网络钓鱼攻击

关键要点

九起以 DBatLoader 恶意软件为基础的网络钓鱼攻击活动针对小型和中型企业，主要集中在波兰，意大利和罗马尼亚也有部分受害。攻击者通过带有恶意 RAR 或 ISO 附件的网络钓鱼电子邮件进行攻击，前者直接触发 DBatLoader 执行，后者则隐藏 Windows 批处理脚本。被 DBatLoader 从被攻击的服务器或 Microsoft OneDrive 中检索的恶意 payload 使得数据外泄活动成为可能，进而助长了更多非法活动。

近期报告显示，网络犯罪分子利用 DBatLoader 恶意软件又称 NatsoLoader 和 ModiLoader发起了九起网络钓鱼攻击活动。这些攻击主要针对小型和中型企业，其中大部分受害者位于波兰，意大利和罗马尼亚的企业也受到影响。根据 The Hacker News 的报道，这些攻击活动显示出网络威胁的多样化，值得企业高度警惕。

DBatLoader 被广泛利用于网络钓鱼活动媒体

据 ESET 的分析，攻击通过发送带有恶意 RAR 或 ISO 附件的网络钓鱼电子邮件来实现。RAR 附件会直接触发 DBatLoader 的执行，而 ISO 附件则隐藏了一个带有 PEM 编码的证书撤销列表，伪装成 DBatLoader 可执行文件的 Windows 批处理脚本。这一策略大大增加了攻击的隐蔽性和成功率。

攻击流程

阶段描述网络钓鱼邮件发送带有 RAR 或 ISO 附件的电子邮件，诱骗用户下载并打开。恶意脚本执行RAR 附件触发 DBatLoader 执行，ISO 附件则运行伪装的批处理脚本。数据外泄操作DBatLoader 从受害服务器或云服务如 Microsoft OneDrive检索恶意 payload。

ESET 的研究人员指出，这些恶意 payload 会操控被攻击的系统，实现数据的外泄，并为后续的非法活动提供基础。此类发现与 Kaspersky 的报告相一致，后者指出由于资源和网络安全防御的有限，小型和中型企业正面临日益增加的攻击威胁。其中，木马病毒被认为是针对这些企业的主要威胁。

这些信息提示我们，不论企业大小，都必须不断提高网络安全防范意识，尤其在面对不断演变的网络攻击手段时。

一元机场.com