新型网络钓鱼攻击利用DBatLoader恶意软件

关键要点

• 一项新的网络钓鱼活动针对欧洲各组织，利用 DBatLoader 恶意软件加载器。
• 攻击中分发了 Remcos RAT 和 Formbook 恶意软件。
• 使用 OneNote 和 HTML 文件进行多层混淆，规避用户帐户控制（UAC）。
• 建议用户监控文件系统路径的进程执行，设置 Windows UAC 配置为“始终通知”。

最近，欧洲各地的组织遭遇了一系列针对性的网络钓鱼攻击，这些攻击利用了DBatLoader恶意软件加载器（也称为NatsoLoader和ModiLoader），以促进和Formbook恶意软件变种的传播。的报道指出，攻击者使用了带有多层混淆的OneNote和HTML文件附件，以得以部署DBatLoader的有效载荷。

根据Zscaler的报告，这些攻击利用伪装的可信目录来逃避用户帐户控制（UAC）和进行特权升级。攻击者需要使用脚本创建Windows资源管理器目录，从而实现DLL载荷的加载。这一过程能有效混淆攻击者的高级活动，从而在他们建立持久性并规避检测时，通过将“C:Users”目录包含到MicrosoftDefender的排除列表中来隐藏其行为。

为了防止DBatLoader的入侵，建议用户跟踪文件系统路径的进程执行情况，并将WindowsUAC配置设置为“始终通知”。这样可以有效地提高系统的安全性，减少潜在的网络威胁。

特别提示

• 关注陌生的邮件附件，尤其是OneNote和HTML格式的文件。
• 定期检查和更新系统的安全配置设置。

加强网络安全意识和采取必要的防护措施是预防此类网络钓鱼攻击的重要手段。