BazarBackdoor теперь распространяется через формы обратной связи на сайтах

Вредоносное ПО BazarBackdoor теперь распространяется не через фишинговые письма, а через формы обратной связи на сайтах, что позволяет ему эффективнее обходить обнаружение антивирусными решениями.

BazarBackdoor представляет собой скрытый бэкдор, созданный киберпреступной группировкой TrickBot и в настоящее время использующийся в операциях кибервымогателей Conti. Вредонос обеспечивает злоумышленникам удаленный доступ к внутреннему устройству, который можно использовать как стартовую площадку для дальнейшего перемещения по сети жертвы.

Как правило, BazarBackdoor распространялся через фишинговые письма с вредоносным вложением, загружавшим и устанавливавшим вредоносное ПО на атакуемой системе. Однако фильтры в сервисах электронной почты становятся все более эффективными в обнаружении вредоносных загрузчиков, поэтому киберпреступники нашли новый способ распространения.

Как пояснили специалисты из Abnormal Security, новая кампания по распространению BazarBackdoor началась в декабре 2021 года и нацелена на корпоративных пользователей. Вероятно, целью заражения является развертывание в их сетях Cobalt Strike или вымогательского ПО.

Вместо рассылки фишинговых писем злоумышленники теперь используют форму обратной связи на корпоративных сайтах. В одном из изученных исследователями случаев хакеры выдавали себя за сотрудников канадской строительной компании, подавших заявку на покупку материалов.

Когда сотрудник ответил на фишинговое письмо, злоумышленники отправили в ответ вредоносный файл ISO, якобы имеющий отношение к заказу.

Поскольку непосредственная отправка файла вызвала бы срабатывание антивирусного решения, хакеры использовали файлообменный сервис.

Архив ISO содержал файлы .lnk и .log. Идея заключалась в том, чтобы обойти антивирусные решения путем упаковки полезной нагрузки в архив, чтобы пользователь разархивировал ее вручную.

Файл .lnk содержит инструкцию, открывающую окно терминала с помощью двоичных кодов Windows, и загружает файл .log, который на самом деле является BazarBackdoor DLL. После загрузки бэкдор внедряется в процесс svchost.exe и подключается к C&C-серверу для получения дальнейших команд.