Negli ultimi mesi, le aziende polacche sono state bersaglio di campagne di phishing che hanno portato all'installazione di diversi malware, tra cui Agent Tesla, Formbook e Remcos RAT. Secondo i ricercatori di cybersecurity, queste campagne hanno preso di mira principalmente le piccole e medie imprese (PMI) in Polonia durante maggio 2024. L'attacco non si è limitato solo alla Polonia, ma ha coinvolto anche altre regioni come Italia e Romania.

Gli attaccanti hanno utilizzato account email e server aziendali precedentemente compromessi per diffondere email malevoli, ospitare malware e raccogliere dati rubati. Le campagne si sono sviluppate in nove ondate, sfruttando un malware loader chiamato DBatLoader, noto anche come ModiLoader o NatsoLoader, per consegnare i payload finali.

Questo rappresenta un cambiamento rispetto agli attacchi precedenti osservati nella seconda metà del 2023, che utilizzavano un servizio di crittografia denominato AceCryptor per diffondere Remcos RAT. Durante quel periodo, Rescoms è diventato il malware più diffuso confezionato da AceCryptor, con oltre la metà degli attacchi registrati in Polonia, seguiti da Serbia, Spagna, Bulgaria e Slovacchia.

Il punto di partenza degli attacchi erano email di phishing contenenti allegati RAR o ISO infetti da malware. Aprendo questi allegati, si avviava un processo a più fasi per scaricare e lanciare il trojan. Gli allegati ISO portavano direttamente all'esecuzione di DBatLoader, mentre gli archivi RAR contenevano uno script batch Windows offuscato con un eseguibile ModiLoader codificato in Base64, mascherato da lista di revoca certificati PEM.

DBatLoader, un downloader basato su Delphi, è progettato per scaricare e lanciare il malware successivo da Microsoft OneDrive o server compromessi di aziende legittime. Indipendentemente dal malware distribuito, Agent Tesla, Formbook e Remcos RAT hanno la capacità di sottrarre informazioni sensibili, permettendo agli attaccanti di preparare il terreno per future campagne malevole.

Kaspersky ha rivelato che le PMI sono sempre più spesso bersaglio di cybercriminali a causa della mancanza di misure di cybersecurity robuste, risorse limitate ed expertise insufficiente. Gli attacchi Trojan rimangono la minaccia cibernetica più comune, suggerendo che gli attaccanti continuano a preferire il malware rispetto al software indesiderato. I trojan sono particolarmente pericolosi poiché imitano software legittimi, rendendoli più difficili da rilevare e prevenire. La loro versatilità e capacità di bypassare le misure di sicurezza tradizionali li rendono uno strumento efficace per i cybercriminali.