Los investigadores de ciberseguridad descubrieron la nueva actividad del notorio malware BazarBackdoor. En lugar de implementar correos electrónicos de phishing para atacar a sus víctimas, ahora implementa cargas útiles de ransomware a través de formularios de contacto del sitio web.
Formularios de contacto de sitios web maliciosos
(Foto: Thomas Lefebvre de Unsplash)
Recientemente se detectó que el malware BazarBackdoor propagaba infecciones en los formularios de contacto de sitios web, algo que tomó por sorpresa a los investigadores.
Como analistas de seguridad de Seguridad anormal Como señala un informe, el malware BazarBackdoor es conocido por su campaña de phishing que suele utilizar para engañar a las víctimas.
Cuando un usuario inconsciente hace clic en un archivo o documento que contiene malware, esta amenaza de seguridad se instalará automáticamente en un dispositivo en particular.
Sin embargo, a medida que las soluciones de seguridad han mejorado en los últimos años, los piratas informáticos deberían pensar en un nuevo plan para invadir las redes internas. En lugar de ceñirse a los habituales ataques de phishing, se le ocurrió una nueva táctica de utilizar formularios de contacto para difundir el malware.
El informe indicó que los atacantes utilizaron BazarBackdoor con otro objetivo de utilizar Cobalt Strike para atacar a las personas corporativas en diciembre. Como inicio de la acción, los formularios de contacto servirán como salidas de infección.
Por ejemplo, los investigadores de Abnormal dijeron que los atacantes falsificaron sus identidades como empleados de una empresa de construcción en Canadá. Como parte de la cotización de suministro del producto, enviarán una solicitud por correo electrónico.
Los actores de amenazas aprovecharán esta oportunidad para propagar la infección durante el proceso. Lo que harán a continuación será devolver un archivo ISO infestado de malware, lo cual es un requisito importante para la empresa.
Los actores de amenazas utilizan aplicaciones para compartir archivos
Para evadir las alertas de seguridad de los sistemas si hay malware o un enlace sospechoso, los ciberdelincuentes tendrán que utilizar WeTransfer y otras aplicaciones para compartir archivos.
De igual forma, la firma de ciberseguridad Abnormal tomó nota del incidente ocurrido en agosto. En ese momento, los expertos descubrieron que BazarBackdoor se estaba instalando en los formularios de contacto a través de DMCA falsa.
En abril del mismo año, los analistas también detallaron que el grupo detrás de estos ataques utilizó formularios de contacto para implementar el troyano bancario IceID y otras variantes de malware.
BazarBackDoor puede evadir la detección AV
Otra cosa que los actores de amenazas consideran con respecto al uso de este malware sigiloso es su capacidad para evadir la detección antivirus. Esto se puede hacer mediante la extracción manual de cargas útiles después del proceso de descarga.
De acuerdo a Computadora que suenaSegún el informe, la DLL BazarBackdoor se hace pasar por una instrucción de comando encapsulada en el archivo .Ink.
Al cargar la puerta trasera, se iniciará el proceso scchost.exe. Comenzará la inyección del malware y seguirá la ejecución remota del código.
Según el análisis de los investigadores de Abnormal, no pudieron recuperar la carga útil en la segunda etapa debido a las IP C2 fuera de línea. Por el momento, todavía no conocen la verdadera intención de los piratas informáticos detrás de este esquema malicioso.
En otro artículo, el malware TrickBot habría cerrado sus operaciones tras algunos hallazgos que señalan la inactividad del grupo. Los investigadores creían que sus desarrolladores podrían centrarse ahora más en las implementaciones de ransomware.
En otros lugares, el equipo de ciberseguridad de Proofpoint observó recientemente un aumento en los ciberataques de malware móvil.
ⓒ 2023 . .
