ModiLoader 恶意软件利用 CAB 标头批处理文件逃避检测

AhnLab 安全情报中心 (ASEC) 警告说，一种新型恶意软件传播策略涉及使用 Microsoft Windows CAB 头批处理文件 (*.cmd) 来部署 ModiLoader (DBatLoader) 恶意软件。这种复杂的规避技术通过伪装成采购订单（PO）的钓鱼电子邮件锁定受害者。

ModiLoader 活动利用一种独特的文件结构，将 CAB 标头（魔法标头 MSCF）、命令行指令和可移植可执行文件 (PE) 结合在一起。尽管扩展名为 *.cmd，但该文件利用 CAB 压缩头格式绕过了传统的电子邮件安全和文件检查工具。

ASEC 指出：“威胁行为者更改了所附文件的头，以绕过电子邮件安全产品，”在某些情况下，甚至添加了 PNG 文件头，以进一步逃避检测。

分发文件（如 PO_SK336.cmd）的执行过程分为三个步骤：

*执行命令行脚本，忽略初始头。

*使用 extrac32 解压缩。

*在系统的 %temp% 目录中创建并运行一个可执行文件。

批处理文件使用以下命令执行：

cls && extrac32 /y "%~f0" "%tmp%x.exe" && start "" "%tmp%x.exe"

这种技术将 *.cmd 文件转化为加载器，在绕过典型安全机制的同时发送恶意软件。一旦执行，ModiLoader 就会将其有效载荷放入 %temp% 文件夹并启动它。基于 CAB 头文件的加载器的出现标志着恶意软件规避策略的升级。ASEC 强调：“用户应特别小心附件文件”，因为这些方法是专门为利用人为错误和技术漏洞而设计的。

（来自：安全客）