BazarLoader惡意軟件在使用Slack、BaseCamp云服務進行攻擊
研究人員表示,BazarLoader惡意軟件正在利用企業員工對Slack和BaseCamp等協作工具的信任,在電子郵件中加入惡意軟件有效載荷的鏈接進行攻擊。
而在針對員工的第二次攻擊活動中,攻擊者在攻擊鏈中加入了語音呼叫元素。
BazarLoader下載器是用C++編寫的,主要功能是下載和執行特定的模塊。去年4月,BazarLoader首次在互聯網上被觀察到。自那時起,研究人員就已經觀察到了至少六個變種,這意味著該工具一直在保持更新。
最近,它作為勒索軟件的中轉惡意軟件而引人關注,特別是Ryuk病毒。
根據Sophos周四發布的警告,BazarLoader主要針對大型企業進行攻擊,很可能會在將來用來發動勒索軟件攻擊。
網絡攻擊者使用Slack和BaseCamp
根據Sophos的研究人員的說法,在發現的第一個攻擊活動中,攻擊者正在針對大型組織的員工進行攻擊,電子郵件內容稱會提供與合同、客戶服務、發票或工資單有關的重要信息。
Sophos稱,"一個垃圾郵件樣本甚至會試圖偽裝成員工被裁的通知"。
郵件內的鏈接托管在Slack或BaseCamp云存儲服務器上,這意味著如果目標在使用這些平臺進行工作,它們就會看起來是合法的。在這個遠程辦公的時代,員工被攻擊的幾率是很大的。
研究人員說:"攻擊者在文檔正文中會突出顯示指向這些合法網站的URL,這樣會很容易使用戶信以為真,然后,該URL可能會通過使用短鏈接服務做進一步的處理,使這個指向帶有.EXE擴展名的文件的鏈接不引人懷疑。"
如果目標點擊了鏈接,BazarLoader就會下載并在受害者的機器上執行。這些鏈接通常會直接指向到一個帶有數字簽名的可執行文件,其圖標為Adobe PDF圖形。研究人員指出,惡意文件的名稱通常為presentation-document.exe、preview-document-[number].exe或annualreport.exe。
這些可執行文件在運行時,會將一個DLL有效載荷注入到一個合法進程中,比如Windows的powershell,cmd.exe等。
研究人員解釋說:"該惡意軟件只會在內存中運行,無法被終端上的保護工具在對文件系統的掃描時檢測到,因為它從未被寫入到文件系統中,文件本身甚至會不使用合法的.DLL文件后綴,因為不管它們是否有后綴;操作系統都會運行這些文件。"
BazarCall 攻擊活動
在第二次攻擊活動中,Sophos發現這些垃圾郵件沒有任何可疑之處:郵件正文中沒有提到任何形式的個人信息,也沒有鏈接和文件附件。
研究人員解釋說:"所有的內容都會聲稱收件人目前正在使用的網絡服務的免費試用期將在接下來的一兩天內到期,并在郵件中嵌入了一個收件人需要撥打的電話號碼,用戶可以選擇是否繼續進行續費"
如果目標決定撥打電話,另一邊的客服會給他們一個網站地址,聲稱受害者可以在那里取消該服務的訂閱。
根據Sophos的說法,這些設計精美、外觀很正式的網站在常見問題的頁面中設置了一個退訂按鈕,點擊該按鈕網站就會提供一個惡意的Office文檔(Word文檔或Excel電子表格),打開后會用同樣的BazarLoader惡意軟件感染用戶的計算機。
這些信息聲稱是來自一家名為 "醫療提醒服務"(Medical Reminder Service)的公司,并在信息的正文中包含了一個電話號碼,和一個位于洛杉磯的辦公樓的街道地址。但在4月中旬,一個名為BookPoint的虛假的在線付費借閱圖書館也在使用這些信息進行攻擊。
在BookPoint的攻擊中還使用了一串長長的數字代碼,要求用戶輸入該數字代碼就可以 "取消訂閱"。
就感染的套路而言,這些所謂的 "BazarCall "攻擊活動中的攻擊者都會使用惡意的微軟Office文檔,這些文檔會使用命令來投放和執行一個或多個DLL有效載荷。
和Trickbot有聯系?
研究人員一直在懷疑BazarLoader可能與TrickBot的操作者有關或者是由TrickBot操作者編寫的。TrickBot是另外一種經常用于勒索軟件攻擊的一級加載器惡意軟件。
Sophos研究了其中的聯系,發現這兩種惡意軟件都使用了一些相同的基礎設施來進行攻擊和控制。
根據發布的信息稱:"我們可以看出,在實驗室網絡中運行的BazarLoader惡意軟件與TrickBot沒有相似之處,但它們確實在和一個IP地址進行通信,而這個IP地址在歷史上一直被兩個惡意軟件家族共同使用。當然,過去也有很多人研究過這種聯系。"
研究人員補充說,無論如何,BazarLoader似乎還處于發展的早期階段,并不像TrickBot等這樣更成熟的家族那樣復雜。
他們說:"例如,雖然早期版本的惡意軟件沒有被混淆加密,但最近發現的樣本可能會加密用于攻擊的字符串"
本文翻譯自:https://threatpost.com/bazarloader-malware-slack-basecamp/165455/
