Get best of the week

BazarBackdoor: nuevo punto de entrada a los sistemas empresariales



A mediados de marzo, el número de ataques de fuerza bruta en las conexiones RDP aumentó considerablemente . El propósito de estos ataques era aprovechar el aumento repentino en el número de trabajadores remotos y obtener el control de sus computadoras corporativas.

Los expertos en seguridad de la información han descubierto una nueva campaña de phishing que promueve una puerta trasera oculta llamada BazarBackdoor (el nuevo malware de los operadores de TrickBot), que se puede utilizar para hackear y obtener acceso completo a las redes corporativas.

Al igual que con el 91% de los ataques cibernéticos , este ataque comienza con un correo electrónico de phishing. Se utilizan varios temas para personalizar los correos electrónicos: quejas de clientes, informes salariales sobre el tema del coronavirus o listas de despidos de empleados. Todas estas cartas contienen enlaces a documentos alojados por Google Docs. Los ciberdelincuentes usan la plataforma de marketing Sendgrid para enviar correos electrónicos maliciosos.



Esta campaña utiliza el llamado "spear phishing", lo que significa que los delincuentes han hecho todo lo posible para que los sitios web vinculados en los correos electrónicos parezcan legítimos y relevantes para el tema de los correos electrónicos.

Documentos maliciosos


El siguiente paso en la campaña con BazarBackdoor es lograr que la víctima descargue el documento. Estos sitios web "ficticios" tienen problemas para mostrar archivos en formato Word, Excel o PDF y, por lo tanto, se solicita a los usuarios que descarguen un documento para poder verlo localmente en su computadora.

Cuando la víctima hace clic en el enlace, se descarga un archivo ejecutable que utiliza el icono y el nombre asociados con el tipo de documento que se muestra en el sitio web. Por ejemplo, usando el enlace "Informe de nómina durante COVID-19", se descargará un documento llamado PreviewReport.doc.exe. Dado que Windows no muestra las extensiones de archivo de forma predeterminada, la mayoría de los usuarios simplemente verán PreviewReport.doc y abrirán este archivo, creyendo que es documento legítimo

Puerta trasera oculta


El archivo ejecutable oculto en este documento malicioso es el gestor de arranque de BazarBackdoor. Cuando un usuario lanza un documento malicioso, el gestor de arranque permanece oculto por un corto tiempo antes de conectarse a un servidor de administración externo para descargar BazarBackdoor.

Para obtener la dirección del servidor de administración, BazarLoader utilizará el servicio DNS descentralizado de Emercoin para obtener varios nombres de host utilizando el dominio bazar. El dominio bazar solo se puede usar en los servidores DNS de Emercoin, y dado que está descentralizado, hace que sea difícil (si no imposible) para las agencias de aplicación de la ley rastrear el host requerido.

Nombres de host utilizados para servidores de administración:

  • forgame.bazar
  • bestgame.bazar
  • thegame.bazar
  • newgame.bazar
  • portgame.bazar

Tan pronto como se reciba la dirección IP del servidor de administración, el gestor de arranque se conectará primero a un C2 y completará el registro. Según los expertos que probaron esta puerta trasera, esta solicitud siempre devolvió un código de error HTTP 404.



Sin embargo, la segunda solicitud, C2, carga la carga útil cifrada de XOR, que es un programa malicioso, la puerta trasera BazarBbackdoor.



Después de cargar la carga útil, se incrustará sin archivos en el proceso C: \ Windows \ system32 \ svchost.exe. El investigador de seguridad Vitali Kremez , quien publicó el informe técnico , le dijo a BleepingComputer que esto se hace utilizando los métodos Process Hollow y Process Doppelgänging .



A medida que los usuarios de Windows se acostumbran a los procesos svchost.exe que se ejecutan en el Administrador de tareas, es poco probable que otro proceso svchost.exe suscite sospechas entre la mayoría de los usuarios.

La tarea programada también se configurará para iniciar el gestor de arranque cuando el usuario inicie sesión en Windows, lo que le permitirá descargar regularmente nuevas versiones de la puerta trasera e ingresarlas en el proceso svchost.exe.



Los investigadores de seguridad Kremez y James informaron más tarde que la puerta trasera descarga y ejecuta una prueba de penetración Cobalt Strike y un conjunto especial de utilidades para la operación posterior de esta máquina en la computadora de la víctima.

Cobalt Strike es una aplicación legítima de seguridad de la información que se promueve como una "plataforma de modelado de adversarios" y está diseñada para realizar una evaluación de seguridad de la red contra una amenaza compleja simulada que un atacante intenta mantener en la red.

Sin embargo, los atacantes a menudo usan versiones pirateadas de Cobalt Strike como parte de su kit de herramientas cuando difunden amenazas en la red, roban credenciales e implementan malware.

Al implementar Cobalt Strike, es obvio que esta puerta trasera oculta se usa para asegurar posiciones en redes corporativas para que el ransomware se pueda incrustar, se roben datos o se venda el acceso a la red a otros atacantes.

Similitudes entre BazarBackdoor y TrickBot


BazarBackdoor es un malware de clase empresarial. Los investigadores de seguridad de la información creen que esta puerta trasera probablemente fue desarrollada por el mismo equipo que desarrolló el troyano TrickBot: ambos programas maliciosos tienen partes del mismo código, así como los mismos métodos de entrega y principios de funcionamiento.

Los peligros de las puertas traseras.


En cualquier ataque complejo, ya sea extorsión, espionaje industrial o extracción de datos corporativos, la disponibilidad de este tipo de acceso es extremadamente importante. Si un ciberdelincuente logra instalar BazarBackdoor en el sistema de TI de la compañía, esto puede ser un grave peligro, y dado el volumen de correos electrónicos enviados utilizando esta puerta trasera, esta es una amenaza común.

Como hemos visto, BazarBackdoor puede ser un punto de entrada para una amplia gama de herramientas y herramientas criminales. A este respecto, es imperativo que las empresas estén protegidas de manera confiable para evitar daños potenciales por amenazas de este tipo.

Fuente: BleepingComputer

More articles:


All Articles