研究人员表示,BazarLoader恶意软件正在利用企业员工对Slack和BaseCamp等协作工具的信任,在电子邮件中加入恶意软件有效载荷的链接进行攻击。
而在针对员工的第二次攻击活动中,攻击者在攻击链中加入了语音呼叫元素。
BazarLoader下载器是用C++编写的,主要功能是下载和执行特定的模块。去年4月,BazarLoader首次在互联网上被观察到。自那时起,研究人员就已经观察到了至少六个变种,这意味着该工具一直在保持更新。
最近,它作为勒索软件的中转恶意软件而引人关注,特别是Ryuk病毒。
根据Sophos周四发布的警告,BazarLoader主要针对大型企业进行攻击,很可能会在将来用来发动勒索软件攻击。
网络攻击者使用Slack和BaseCamp
根据Sophos的研究人员的说法,在发现的第一个攻击活动中,攻击者正在针对大型组织的员工进行攻击,电子邮件内容称会提供与合同、客户服务、发票或工资单有关的重要信息。
Sophos称,"一个垃圾邮件样本甚至会试图伪装成员工被裁的通知"。
邮件内的链接托管在Slack或BaseCamp云存储服务器上,这意味着如果目标在使用这些平台进行工作,它们就会看起来是合法的。在这个远程办公的时代,员工被攻击的几率是很大的。
研究人员说:"攻击者在文档正文中会突出显示指向这些合法网站的URL,这样会很容易使用户信以为真,然后,该URL可能会通过使用短链接服务做进一步的处理,使这个指向带有.EXE扩展名的文件的链接不引人怀疑。"
如果目标点击了链接,BazarLoader就会下载并在受害者的机器上执行。这些链接通常会直接指向到一个带有数字签名的可执行文件,其图标为Adobe PDF图形。研究人员指出,恶意文件的名称通常为presentation-document.exe、preview-document-[number].exe或annualreport.exe。
这些可执行文件在运行时,会将一个DLL有效载荷注入到一个合法进程中,比如Windows的powershell,cmd.exe等。
研究人员解释说:"该恶意软件只会在内存中运行,无法被终端上的保护工具在对文件系统的扫描时检测到,因为它从未被写入到文件系统中,文件本身甚至会不使用合法的.DLL文件后缀,因为不管它们是否有后缀;操作系统都会运行这些文件。"
BazarCall 攻击活动
在第二次攻击活动中,Sophos发现这些垃圾邮件没有任何可疑之处:邮件正文中没有提到任何形式的个人信息,也没有链接和文件附件。
研究人员解释说:"所有的内容都会声称收件人目前正在使用的网络服务的免费试用期将在接下来的一两天内到期,并在邮件中嵌入了一个收件人需要拨打的电话号码,用户可以选择是否继续进行续费"
如果目标决定拨打电话,另一边的客服会给他们一个网站地址,声称受害者可以在那里取消该服务的订阅。
根据Sophos的说法,这些设计精美、外观很正式的网站在常见问题的页面中设置了一个退订按钮,点击该按钮网站就会提供一个恶意的Office文档(Word文档或Excel电子表格),打开后会用同样的BazarLoader恶意软件感染用户的计算机。
这些信息声称是来自一家名为 "医疗提醒服务"(Medical Reminder Service)的公司,并在信息的正文中包含了一个电话号码,和一个位于洛杉矶的办公楼的街道地址。但在4月中旬,一个名为BookPoint的虚假的在线付费借阅图书馆也在使用这些信息进行攻击。
在BookPoint的攻击中还使用了一串长长的数字代码,要求用户输入该数字代码就可以 "取消订阅"。
就感染的套路而言,这些所谓的 "BazarCall "攻击活动中的攻击者都会使用恶意的微软Office文档,这些文档会使用命令来投放和执行一个或多个DLL有效载荷。
和Trickbot有联系?
研究人员一直在怀疑BazarLoader可能与TrickBot的操作者有关或者是由TrickBot操作者编写的。TrickBot是另外一种经常用于勒索软件攻击的一级加载器恶意软件。
Sophos研究了其中的联系,发现这两种恶意软件都使用了一些相同的基础设施来进行攻击和控制。
根据发布的信息称:"我们可以看出,在实验室网络中运行的BazarLoader恶意软件与TrickBot没有相似之处,但它们确实在和一个IP地址进行通信,而这个IP地址在历史上一直被两个恶意软件家族共同使用。当然,过去也有很多人研究过这种联系。"
研究人员补充说,无论如何,BazarLoader似乎还处于发展的早期阶段,并不像TrickBot等这样更成熟的家族那样复杂。
他们说:"例如,虽然早期版本的恶意软件没有被混淆加密,但最近发现的样本可能会加密用于攻击的字符串"
本文翻译自:https://threatpost.com/bazarloader-malware-slack-basecamp/165455/