BazarBackdoor es un malware que fue creado por el grupo TrickBot y está bajo desarrollo por el colectivo de ransomware Conti, vinculado a Rusia y del que ya os hemos hablado en alguna ocasión. Este proporciona a los actores de amenazas acceso remoto a un dispositivo interno que puede usarse para infectarlo.
Hasta la fecha BazarBackdoor se propagaba generalmente mediante correos electrónicos de phishing que incluían documentos maliciosos para instalar el malware. Sin embargo, su modus operandi está cambiando.
La amenaza está abrazando una nueva vía de difusión: ocultándose en los clásicos formularios de contacto de las páginas web. De esta manera, consigue evitar la detección de los antivirus y el software de seguridad.
Este cambio de estrategia ha sido revelado por la firma Abnormal Security en un informe. Los analistas explican que en diciembre se inició una nueva campaña de distribución dirigida a usuarios corporativos y con el objetivo de implementar cargas útiles de Cobalt Strike o ransomware.
En uno de los ejemplos hallados por la compañía de seguridad los actores de amenazas se hacían pasar por por empleados de una empresa de construcción canadiense que presentó una solicitud de presupuesto de suministro de productos.
Una vez que el trabajador responde al email, los atacantes envían un archivo ISO malicioso supuestamente relevante para la negociación. Para ello, los cibermalos usan servicios para compartir archivos como TransferNow y WeTransfer.
Por la puerta de atrás
Según se hace eco Bleeping Computer, el archivo adjunto ISO contiene un archivo .lnk y un archivo .log. Se pretende evadir la detección del antivirus empaquetando las cargas útiles en el archivo y haciendo que el usuario las extraiga manualmente después de la descarga.
El archivo .lnk contiene una instrucción de comando que abre una ventana de terminal utilizando los binarios de Windows existentes y carga el archivo .log, que es, en realidad, una DLL de BazarBackdoor.
Cuando se carga la puerta trasera, se inyectará en el proceso svchost.exe y se comunicará con el servidor de comando y control (C2) para recibir los comandos para ejecutar.