Resumen: Los avances tecnológicos se han convertido en una creciente tendencia de la humanidad durante las últimas décadas, esto nos ha permitido acceder a la información de forma rápida, establecer una comunicación y operar algún trabajo de manera remota.
Sin embargo, esto ha traído consigo mayores oportunidades para los actores de la amenaza para robar, secuestrar y destruir nuestra información.
Tal es el caso del sigiloso malware BazarBackdoor, una amenaza de puerta trasera creada por el grupo de Trickbot y que actualmente está siendo utilizada por los operadores del ransomware Conti.
Si bien BazarBackdoor solía ser distribuido mediante los típicos correos electrónicos de phishing, los actores de la amenaza han comenzado a entregar el malware mediante los formularios de contacto de sitios web. Esto para eludir la detección del software de seguridad.
De acuerdo con los analistas de Abnormal Security, esta nueva campaña de distribución fue iniciada en diciembre del 2021 y está dirigida especialmente a los usuarios corporativos.
En esta nueva campaña, BazarBackdoor es utilizado para proporcionarle a los atacantes el acceso remoto a un dispositivo interno, que posteriormente será empleado para desplegar Cobalt Strike o cargas útiles del ransomware.
Para llevar a cabo la operación, los atacantes utilizan los formularios de contacto corporativos para establecer una comunicación. En este paso, los actores de la amenaza podrían hacerse pasar por los empleados de una empresa para distribuir archivos ISO maliciosos.
Estos archivos suelen ir acompañados de un archivo .lnk y un archivo .log, que más adelante le permitirán al malware evadir la detección de los antivirus, empaquetando las cargas útiles en el archivo y haciendo que la víctima las extraiga de manera manual después de su descarga.
Es preciso destacar que el archivo .lnk de la operación, contiene instrucciones de comando que abren una ventana de terminal para cargar el archivo .log, que en realidad es una DLL de BazarBackdoor.
Una vez que el malware ha sido instalado, se inyecta dentro del proceso “svchost.exe”. Finalmente, se pone en contacto con el servidor C2 del atacante y espera a recibir los comandos a ejecutar.
Aunque aún se desconocen muchas cosas de la nueva operación de BazarBackdoor, los investigadores le recomiendan a todos los usuarios mantener sus sistemas al día y estar al pendiente de cualquier correo sospechoso.
Recomendaciones: Se le insta a todos los administradores a mantener sus sistemas con las últimas actualizaciones disponibles, además de evitar abrir cualquier archivo o enlace sospechoso, inclusive si parece provenir de un miembro de su misma empresa u organización. Referencias: |
SÍGUENOS