BazarBackdoor пробирается через вложенные архивы RAR и ZIP

Источник · Перевод автора

Исследователи безопасности поймали новую фишинговую кампанию, в которой пытались доставить вредоносное ПО BazarBackdoor, используя технику множественного сжатия и маскируя его под файл изображения.

Метод многократного сжатия или вложенного архива не нов, но в последнее время приобрел популярность, поскольку он может обмануть шлюзы безопасности электронной почты, чтобы они ошибочно пометили вредоносные вложения как чистые.

Он заключается в помещении одного архива в другой. Исследователи из Cofense говорят, что этот метод может обойти некоторые безопасные почтовые шлюзы (SEG), которые могут иметь ограничение на глубину проверки сжатого файла.

Новая кампания BazarBackdoor, развернутая ранее в этом месяце, привлекла корпоративных клиентов темой «Дня окружающей среды», который официально отмечается 5 июня.

Оба вложенных архива ZIP и RAR во вложении содержали файл JavaScript, который в конечном итоге доставлял вредоносное ПО Trickbot BazarBackdoor, скрытый бэкдор, обычно используемый на корпоративных объектах для обеспечения удаленного доступа к злоумышленнику.

Cofense проанализировал недавнюю кампанию по борьбе со спамом и обнаружил, что роль сильно запутанного файла JavaScript заключалась в загрузке полезной нагрузки с расширением изображения.

Cofense объясняет, что «вложение различных типов архивов является целенаправленным для злоумышленника, поскольку у него есть шанс достичь предела декомпрессии SEG или не удастся из-за неизвестного типа архива».

Обфусцированные файлы также могут создавать проблемы для SEG, если для полезной нагрузки используется несколько уровней шифрования, что увеличивает вероятность того, что вредоносный файл пройдет незамеченным.

«После выполнения обфусцированный JavaScript загрузит полезную нагрузку [BazarBackdoor] с расширением .png через соединение HTTP GET», – говорит Cofense, добавляя, что полезная нагрузка является исполняемым файлом с неправильным расширением.

После развертывания на компьютере жертвы BazarBackdoor может загрузить и выполнить Cobalt Strike, законный набор инструментов, предназначенный для постэксплуатационных упражнений, для распространения в среде.

Получив доступ к ценным системам в сети, злоумышленники могут запускать атаки программ-вымогателей, красть конфиденциальную информацию или продавать доступ другим киберпреступникам.

Ранее в этом году исследователи безопасности обнаружили вариант BazarBackdoor, написанный на языке программирования Nim, что свидетельствует о том, какие усилия прилагает разработчик Trickbot для того, чтобы вредоносное ПО оставалось незамеченным и имело отношение к деятельности киберпреступников.