DBatLoader

O DBatLoader é um carregador de malware de dois estágios escrito em Delphi. Durante a etapa inicial, o malware estabelece uma conexão com um serviço predeterminado baseado na Nuvem. Em alguns dos casos observados, o Google Drive foi usado e buscou um carregador de acompanhamento. Em seu segundo estágio, a carga útil real é entregue na máquina da vítima e então executada. Na maioria dos casos, a carga entregue pelo DBatLoader é o FormBook, um Trojan Infostealer, mas em campanhas anteriores, os pesquisadores de segurança cibernética notaram a presença de diferentes RATs (Trojans de Acesso Remoto), tais comoo Netwire RAT ou RemcosRAT.  

O principal método de distribuição nas campanhas de hackers envolvendo DBatLoader é uma campanha de e-mail de spam com o malware escondido nos arquivos comprometidos anexados. As campanhas de spam podem usar truques de engenharia social para atingir regiões geográficas específicas ou grupos de pessoas para aumentar as chances de usuários desavisados baixarem e executarem anexos de e-mail com malware.

Os pesquisadores de segurança fizeram a engenharia reversa do DBatLoader e conseguiram extrair o código subjacente. Eles descobriram que o malware tinha quatro funções principais responsáveis por preparar a carga, extraindo, descriptografando e executando-a no computador da vítima. Assim que a carga estiver pronta, o DBatLoader a mapeia em uma parte da memória previamente alocada e a executa, iniciando assim o processo nefasto dos cibercriminosos.