虽然钓鱼邮件仍然是传统的攻击方式,但攻击者并没有放弃寻找新的攻击方式。最近,研究人员通过在线表单发现了BazarLoader攻击。BazarLoader被认为与网络犯罪组织WizardSpider密切相关,该组织因开发Trickbot银行木马和Conti勒索软件而广为人知。2021年,BazarLoader以盗版内容为幌子进行分发。攻击者威胁要对正在进行的版权侵权行为采取法律行动,并将恶意软件描述为不当行为的证据。在线表单2021年12月至2022年1月,研究人员发现攻击者并非直接发送钓鱼邮件发起攻击,而是通过在线表单实现攻击。攻击者冒充加拿大一家豪华建筑公司的员工,寻求产品报价。攻击者选择这种方法有两个目的:将流量伪装成合法流量并通过合法发件人发送,以及逃避恶意电子邮件的检测。攻击者只需要等待目标公司的受害者送上门即可。攻击者通过邮件发送恶意样本确认身份后,以项目协商为名引诱受害者下载恶意文件。电子邮件攻击者通常使用文件共享服务TransferNow和WeTransfer来发送样本。BazarLoader恶意软件攻击者共享的样本下载是一个.iso文件,其中包含两个伪装成不同文件类型的文件。看起来一个是它所在文件夹的快捷方式,另一个是具有合法Windows文件名的.log文件。实际上,一个是WindowsLNK文件,另一个是DumpStack.log文件。通过TransferNow发送的恶意软件快捷方式允许创建者指定命令行参数以在受害者的设备上执行操作,攻击者经常利用此类文件进行攻击。ISO文件LNK文件将使用regsvr-32.exe打开终端并运行DumStack.log,这是BazarLoaderDLL文件。LNK文件DLL通过进程注入svchost.exe来逃避检测,使用443端口与C&C服务器13.107.21.200通信。部分C&C服务器在进程建立连接建立连接调查时已经关闭,无法下载后续payload。基于数据关联,可以发现相关的恶意软件链接。关联图中与IP地址相关的恶意软件如下:恶意样本汇总攻击者会冒充知名企业,创建相似的域名来获取受害者的信任,比如更改..的顶级域名。com到.us。BazarLoader通常用作多阶段恶意软件的一部分,随后可以部署Conti勒索软件或CobaltStrike恶意样本。
