BazarBackdoor теперь распространяется через формы обратной связи на сайтах

BazarBackdoor теперь распространяется через формы обратной связи на сайтах

Новый способ распространения позволяет ему эффективнее обходить обнаружение антивирусными решениями.

Вредоносное ПО BazarBackdoor теперь распространяется не через фишинговые письма, а через формы обратной связи на сайтах, что позволяет ему эффективнее обходить обнаружение антивирусными решениями.

BazarBackdoor представляет собой скрытый бэкдор, созданный киберпреступной группировкой TrickBot и в настоящее время использующийся в операциях кибервымогателей Conti. Вредонос обеспечивает злоумышленникам удаленный доступ к внутреннему устройству, который можно использовать как стартовую площадку для дальнейшего перемещения по сети жертвы.

Как правило, BazarBackdoor распространялся через фишинговые письма с вредоносным вложением, загружавшим и устанавливавшим вредоносное ПО на атакуемой системе. Однако фильтры в сервисах электронной почты становятся все более эффективными в обнаружении вредоносных загрузчиков, поэтому киберпреступники нашли новый способ распространения.

Как пояснили специалисты из Abnormal Security, новая кампания по распространению BazarBackdoor началась в декабре 2021 года и нацелена на корпоративных пользователей. Вероятно, целью заражения является развертывание в их сетях Cobalt Strike или вымогательского ПО.

Вместо рассылки фишинговых писем злоумышленники теперь используют форму обратной связи на корпоративных сайтах. В одном из изученных исследователями случаев хакеры выдавали себя за сотрудников канадской строительной компании, подавших заявку на покупку материалов.

Когда сотрудник ответил на фишинговое письмо, злоумышленники отправили в ответ вредоносный файл ISO, якобы имеющий отношение к заказу.

Поскольку непосредственная отправка файла вызвала бы срабатывание антивирусного решения, хакеры использовали файлообменный сервис.

Архив ISO содержал файлы .lnk и .log. Идея заключалась в том, чтобы обойти антивирусные решения путем упаковки полезной нагрузки в архив, чтобы пользователь разархивировал ее вручную.

Файл .lnk содержит инструкцию, открывающую окно терминала с помощью двоичных кодов Windows, и загружает файл .log, который на самом деле является BazarBackdoor DLL. После загрузки бэкдор внедряется в процесс svchost.exe и подключается к C&C-серверу для получения дальнейших команд.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину