Get best of the week

BazarBackdoor: Novo ponto de entrada para sistemas corporativos



Em meados de março, o número de ataques de força bruta nas conexões RDP aumentou bastante . O objetivo desses ataques era aproveitar o aumento repentino no número de trabalhadores remotos e obter o controle de seus computadores corporativos.

Os especialistas em segurança da informação descobriram uma nova campanha de phishing que promove um backdoor oculto chamado BazarBackdoor (o novo malware dos operadores do TrickBot), que pode ser usado para invadir e obter acesso total às redes corporativas.

Assim como 91% dos ataques cibernéticos , esse ataque começa com um email de phishing. Vários tópicos são usados ​​para personalizar e-mails: reclamações de clientes, relatórios salariais sobre o tópico de coronavírus ou listas de demissões de funcionários. Todas essas cartas contêm links para documentos hospedados pelo Google Docs. Os cibercriminosos usam a plataforma de marketing Sendgrid para enviar e-mails maliciosos.



Esta campanha usa o chamado "spear phishing", o que significa que os criminosos fizeram todos os esforços para fazer com que os sites vinculados aos emails pareçam legítimos e relevantes para o assunto dos emails.

Documentos maliciosos


O próximo passo na campanha com o BazarBackdoor é fazer com que a vítima faça o download do documento. Esses sites “fictícios” têm problemas para exibir arquivos no formato Word, Excel ou PDF e, portanto, os usuários são solicitados a baixar um documento para que possam visualizá-lo localmente em seu computador.

Quando a vítima clica no link, é baixado um arquivo executável que usa o ícone e o nome associados ao tipo de documento exibido no site. Por exemplo, usando o link "Relatório da folha de pagamento durante o COVID-19", será baixado um documento chamado PreviewReport.doc.exe. Como o Windows não mostra extensões de arquivo por padrão, a maioria dos usuários simplesmente vê o PreviewReport.doc e abre esse arquivo, acreditando que é documento legítimo.

Backdoor escondido


O arquivo executável oculto neste documento malicioso é o carregador de inicialização do BazarBackdoor. Quando um usuário lança um documento malicioso, o carregador de inicialização permanece oculto por um curto período de tempo antes de se conectar a um servidor de gerenciamento externo para baixar o BazarBackdoor.

Para obter o endereço do servidor de gerenciamento, o BazarLoader usará o serviço DNS descentralizado Emercoin para obter vários nomes de host usando o domínio bazar. O domínio bazar pode ser usado apenas em servidores DNS Emercoin e, como é descentralizado, torna difícil (se não impossível) para as agências policiais rastrearem o host necessário.

Nomes de host usados ​​para servidores de gerenciamento:

  • forgame.bazar
  • bestgame.bazar
  • thegame.bazar
  • newgame.bazar
  • portgame.bazar

Assim que o endereço IP do servidor de gerenciamento for recebido, o carregador de inicialização primeiro se conectará a um C2 e concluirá o registro. De acordo com especialistas que testaram esse backdoor, essa solicitação sempre retornava um código de erro HTTP 404. A



segunda solicitação, C2, no entanto, carrega a carga XOR criptografada, que é um programa malicioso, o backdoor BazarBbackdoor.



Após o carregamento da carga, ela será incorporada de maneira sem arquivo no processo C: \ Windows \ system32 \ svchost.exe. O pesquisador de segurança Vitali Kremez , que publicou o relatório técnico , disse à BleepingComputer que isso é feito usando os métodos Process Hollowing e Process Doppelgänging .



À medida que os usuários do Windows se acostumam aos processos svchost.exe em execução no Gerenciador de Tarefas, é improvável que outro processo svchost.exe suscite suspeitas entre a maioria dos usuários.

A tarefa agendada também será configurada para iniciar o carregador de inicialização quando o usuário efetuar login no Windows, o que permitirá que você baixe regularmente novas versões do backdoor e insira-as no processo svchost.exe.



Mais tarde, os pesquisadores de segurança Kremez e James relataram que o backdoor baixa e executa um teste de penetração do Cobalt Strike e um conjunto especial de utilitários para a operação subseqüente desta máquina no computador da vítima.

O Cobalt Strike é um aplicativo legítimo de segurança da informação que é promovido como uma “plataforma de modelagem de adversários” e foi projetado para executar uma avaliação de segurança de rede contra uma ameaça complexa simulada que um invasor está tentando manter na rede.

No entanto, os atacantes costumam usar versões hackeadas do Cobalt Strike como parte de seu kit de ferramentas ao espalhar ameaças pela rede, roubar credenciais e implantar malware.

Ao implementar o Cobalt Strike, é óbvio que esse backdoor oculto é usado para garantir posições em redes corporativas, para que os criptografadores possam ser introduzidos, roubar dados ou vender acesso à rede a outros atacantes.

Semelhanças entre o BazarBackdoor e o TrickBot


O BazarBackdoor é um malware de classe empresarial. Pesquisadores de segurança da informação acreditam que esse backdoor provavelmente foi desenvolvido pela mesma equipe que desenvolveu o TrickBot Trojan: ambos os programas maliciosos têm partes do mesmo código, bem como os mesmos métodos de entrega e princípios de trabalho.

Os perigos das backdoors


Em qualquer ataque complexo, seja extorsão, espionagem industrial ou extração de dados corporativos, a disponibilidade desse tipo de acesso é extremamente importante. Se um cibercriminoso conseguir instalar o BazarBackdoor no sistema de TI da empresa, isso pode ser um perigo sério e, dado o volume de e-mails enviados usando esse backdoor, essa é uma ameaça comum.

Como vimos, o BazarBackdoor pode ser um ponto de entrada para uma ampla gama de ferramentas e ferramentas criminais. Nesse sentido, é imperativo que as empresas sejam protegidas de forma confiável , a fim de evitar possíveis danos causados ​​por ameaças desse tipo.

Fonte: BleepingComputer

More articles:


All Articles