BazarLoader恶意软件正在利用员工对Slack和BaseCamp等协作工具的信任,方法是在电子邮件中包含指向恶意软件有效负载的链接,研究人员说。在针对员工的第二个活动中,攻击者在攻击链中添加了一个语音呼叫元素。BazarLoader下载器是用C++编写的,主要功能是下载并执行特定的模块。BazarLoader于去年4月首次在互联网上被发现。从那时起,研究人员已经观察到至少六种变体,这意味着该工具在不断更新。最近,它作为勒索软件(特别是Ryuk病毒)的传输恶意软件而受到关注。根据Sophos周四发布的警告,BazarLoader主要针对大型企业,未来很可能被用于发起勒索软件攻击。网络攻击者使用Slack和BaseCamp据Sophos的研究人员称,在看到的第一个活动中,攻击者以大型组织的员工为目标,发送电子邮件声称提供合同、客户服务、发票或有关工资单的重要信息的链接。“一个垃圾邮件样本甚至试图伪装成员工裁员通知,”Sophos说。电子邮件中的链接托管在Slack或BaseCamp云存储服务器上,这意味着如果目标使用这些平台进行工作,它们看起来是合法的。在这个远程办公的时代,员工更容易受到攻击。“攻击者在文档文本中突出显示指向这些合法站点的URL,这很容易让用户相信该URL然后通过使用短链接服务进一步处理,使带有.EXE扩展名文件链接的URL不可疑”如果目标点击链接,BazarLoader将被下载并在受害者的机器上执行。这些链接通常直接指向带有Adob??ePDF图形作为图标的数字签名可执行文件。据研究人员称,恶意文件通常被命名为presentation-document.exe、preview-document-[number].exe或annualreport.exe。这些可执行文件在运行时将DLL负载注入合法进程,例如Windowspowershell、cmd.exe等。研究人员解释说:“恶意软件仅在内存中运行,扫描文件系统时无法被端点保护工具检测到,因为它从未写入文件系统,甚至文件本身也未写入。”使用合法的.DLL文件后缀,因为有没有后缀并不重要;操作系统将运行这些文件。”BazarCall活动在第二次活动中,Sophos发现垃圾邮件没有任何可疑之处:任何形式的个人信息,也没有链接和文件附件。“所有内容都声称可以免费试用网络收件人当前使用的服务将在接下来的一两天内到期,并嵌入收件人需要拨打的电话号码,”研究人员解释说。用户可以选择是否继续续订“如果目标决定拨打电话,对方的客服会给他们一个网址,声称受害人可以在那里取消订阅服务。根据Sophos的说法,这些设计精美、外观正式的网站在常见问题解答页面上包含一个取消订阅按钮,单击该按钮后,会发送恶意Office文档(Word文档或Excel电子表格),打开后,会用相同的BazarLoader感染用户的计算机恶意软件。这些消息据称来自一家名为MedicalReminderService的公司,消息正文中包含电话号码和洛杉矶一座办公楼的街道地址。但在4月中旬,一家名为BookPoint的虚假在线付费借阅图书馆也在其攻击中使用了这些信息。BookPoint的攻击中还使用了一长串数字代码,用户需要输入这些代码才能“取消订阅”。就感染方式而言,这些所谓的“BazarCall”活动中的参与者都使用恶意MicrosoftOffice文档,这些文档使用命令来投放和执行一个或多个DLL有效负载。链接到Trickbot?长期以来,研究人员一直怀疑BazarLoader可能与TrickBot操作员有关或由其编写。TrickBot是另一种常用于勒索软件攻击的一级加载程序恶意软件。Sophos调查了这些连接,发现这两种恶意软件类型都使用一些相同的基础设施来进行攻击和控制。“我们可以看到,在实验室网络上运行的BazarLoader恶意软件与TrickBot没有任何相似之处,但它们确实与历史上曾被两个恶意软件家族一起使用的IP地址进行通信。当然,很多人研究过这种联系在过去。”研究人员补充说,无论如何,BazarLoader似乎处于开发的早期阶段,并不像TrickBot等更成熟的家族那样复杂。“例如,虽然早期版本的恶意软件没有被混淆,但最近发现的样本可能会加密攻击中使用的字符串,”他们说。大本营/165455/
