BazarBackdoor é detectado em arquivos RAR e ZIP aninhados

BazarBackdoor é detectado em arquivos RAR e ZIP aninhados

Os pesquisadores de segurança descobriram uma nova campanha de phishing que tenta entregar, sorrateiramente, o malware BazarBackdoor. Os cibercriminosos utilizam a técnica de multi-compressão para mascarar o software malicioso como um arquivo de imagem.

O método de compactação múltipla (ou arquivamento aninhado) não é novo, mas ganhou popularidade recentemente, pois pode enganar os gateways de segurança de e-mail fazendo-os rotular erroneamente anexos maliciosos como limpos.

A tática consiste em colocar um arquivo dentro de outro. Pesquisadores da Cofense dizem que esse método pode contornar alguns gateways de e-mails seguros (SEGs), que podem ter um limite para a profundidade de verificação de um arquivo compactado.

A nova campanha BazarBackdoor implantada no início deste mês atraiu destinatários de empresas com o tema do “Dia do Meio Ambiente”, celebrado oficialmente em 5 de junho.

Ambos os arquivos ZIP e RAR aninhados no anexo continham um arquivo JavaScript que, por fim, entregavam o trojan do Trickbot, um backdoor furtivo normalmente usado em alvos corporativos para fornecer acesso remoto ao ator da ameaça.

A Cofense analisou a recente campanha de malspam, e descobriu que a função do arquivo JavaScript altamente ofuscado era baixar um payload com uma extensão de imagem.

A Cofense explica que “o aninhamento de vários tipos de arquivos é proposital pelo atacante, pois assim ele tem a chance de atingir o limite de descompressão do SEG ou suas falhas, por conta do tipo de arquivo desconhecido.”

Os arquivos ofuscados também podem representar problemas para um SEG se houver várias camadas de criptografia para o payload, aumentando as chances do arquivo malicioso passar despercebido.

“Uma vez executado, o JavaScript mascarado baixaria o payload (vulgo BazarBackdoor) com uma extensão .png por meio de uma conexão HTTP GET”, diz a Cofense, acrescentando que o payload é um executável com a extensão errada.

Quando implantado no computador da vítima, o BazarBackdoor pode baixar e executar o Cobalt Strike, um kit de ferramentas legítimo, projetado para exercícios pós-exploração, para se espalhar lateralmente no ambiente.

Depois de obter acesso a sistemas de alto valor na rede, os agentes de ameaças podem lançar ataques de ransomware, roubar informações confidenciais ou vender o acesso a outros cibercriminosos.

No início deste ano, pesquisadores de segurança descobriram uma variante do BazarBackdoor escrita na linguagem de programação Nim, mostrando o esforço que o desenvolvedor do Trickbot faz para manter o malware não detectado e relevante para atividades cibercriminosas.

Tradução por: Daniel Henrique

Link original

Missão: Firewall como negócio

Seja um Parceiro Starti