El malware BazarBackdoor está infectando dispositivos una vez más. Esta vez, los investigadores de ciberseguridad descubrieron que la nueva estrategia de phishing se basa en archivos de texto CSV, las herramientas que se utilizan para instalar este troyano.
¿Qué es un archivo CSV?
(Foto: Kevin Ku de Unsplash)
CSV o archivo de valores separados por comas es un archivo especial compuesto de datos divididos por comas. Normalmente, hay una descripción o un encabezado en la primera línea del texto.
Como una referencia, Computadora que suena escribió que la capital de los estados de EE. UU. se puede escribir en un archivo CSV simple. Las comas sirven como herramienta de separación de las columnas que contienen datos.
Cuando abre este archivo a través de Microsoft Excel, solo puede ver los textos en cada línea. Algunas personas usaban CSV para transferir datos a otra aplicación, como administradores de contraseñas o una base de datos.
Sin embargo, la aplicación Excel tiene una desventaja notable en términos de comandos ejecutables. La salida puede manipularse mediante la función de intercambio dinámico de datos (DDE).
Como resultado, los piratas informáticos podrían utilizar esto para instalar malware e infectar los dispositivos de los usuarios ejecutando diferentes comandos.
Campaña de phishing promueve BazarBackdoor
Chris Campbell, un detector de malware en Twitter, publicó recientemente que el notorio troyano estaba propagando la infección utilizando archivos CSV. Con eso, los actores de amenazas ahora obtuvieron acceso al sistema después de la BazarMalware de puerta trasera fue instalado.
Bazar. URL CSV: hXXps://leosoko[.]com/components/com_kunena/views/home/tmpl/appeal.php Dominio de secuencia de comandos: ouchimin[.]como C2: 104.168.48[.]120:443 185.99.132[.]67:443 Ejecución: Excel > powershell > powershell > rundll32 CSV: https://t.co/BR4wzKLHNy Carga útil: https://t.co/3CJFe4RUbn pic.twitter.com/HdaDwj5aa4
– Chris (@phage_nz) 1 de febrero de 2022
Más importante aún, los usuarios deben prestar atención a los enlaces sospechosos que los dirigen a un destino CSV desconocido. Para llevar a cabo los ataques de phishing, los piratas informáticos utilizaron correos electrónicos disfrazados de “aviso de pago”.
Al observar de cerca los datos del archivo, una columna tiene una llamada “WMIC” sospechosa que podría solicitar comandos de PowerShell.
Si los actores de amenazas omitieron el permiso para WMIC.exe, ahora podrían ingresar información ejecutando un comando de PowerShell de inmediato.
Para este incidente, los ciberdelincuentes supuestamente utilizaron este comando ejecutable para abrir un proceso de Powershell. Esto luego dirigiría a la persona a una “URL remota”.
Para que quede claro, permitir que funcionen ambas indicaciones dará como resultado el inicio de los scripts de PowerShell a través de Excel. Cuando esto sucede, los piratas informáticos ahora pueden descargar la DLL. A partir de ahí, ahora podrían iniciar un proceso para instalar BazarBackdoor en un sistema o dispositivo.
La trampa del phishing victimiza a más personas
El caso llamó la atención de Vitali Kremez, director ejecutivo de AdvIntel, quien dijo que cada vez más personas caen en este esquema.
“Según nuestra visibilidad de la telemetría de BazarBackdoor, hemos observado 102 víctimas corporativas y gubernamentales reales que no pertenecen al sandbox durante los últimos dos días de esta campaña de phishing”, dijo Kremez.
El malware también estuvo involucrado en un incidente que tuvo lugar en noviembre de 2021. ZDNet informó que BazarBackdoor aprovechó una función de aplicación especial en Windows 10.
Para buscar más artículos sobre ciberseguridad, consulte el último informe de Tech Times sobre la advertencia del FBI a los atletas y al público de los Juegos Olímpicos de Invierno de Beijing. También puede leer nuestra historia escrita sobre el malware MoonBounce descubierto por Kaspersky.
ⓒ 2023 . .
