研究人員表示，BazarLoader惡意軟件正在利用企業(yè)員工對Slack和BaseCamp等協(xié)作工具的信任，在電子郵件中加入惡意軟件有效載荷的鏈接進行攻擊。

而在針對員工的第二次攻擊活動中，攻擊者在攻擊鏈中加入了語音呼叫元素。

[[397264]]

BazarLoader下載器是用C++編寫的，主要功能是下載和執(zhí)行特定的模塊。去年4月，BazarLoader首次在互聯(lián)網(wǎng)上被觀察到。自那時起，研究人員就已經(jīng)觀察到了至少六個變種，這意味著該工具一直在保持更新。

最近，它作為勒索軟件的中轉(zhuǎn)惡意軟件而引人關(guān)注，特別是Ryuk病毒。

根據(jù)Sophos周四發(fā)布的警告，BazarLoader主要針對大型企業(yè)進行攻擊，很可能會在將來用來發(fā)動勒索軟件攻擊。

網(wǎng)絡(luò)攻擊者使用Slack和BaseCamp

根據(jù)Sophos的研究人員的說法，在發(fā)現(xiàn)的第一個攻擊活動中，攻擊者正在針對大型組織的員工進行攻擊，電子郵件內(nèi)容稱會提供與合同、客戶服務(wù)、發(fā)票或工資單有關(guān)的重要信息。

Sophos稱，"一個垃圾郵件樣本甚至?xí)噲D偽裝成員工被裁的通知"。

郵件內(nèi)的鏈接托管在Slack或BaseCamp云存儲服務(wù)器上，這意味著如果目標(biāo)在使用這些平臺進行工作，它們就會看起來是合法的。在這個遠(yuǎn)程辦公的時代，員工被攻擊的幾率是很大的。

研究人員說："攻擊者在文檔正文中會突出顯示指向這些合法網(wǎng)站的URL，這樣會很容易使用戶信以為真，然后，該URL可能會通過使用短鏈接服務(wù)做進一步的處理，使這個指向帶有.EXE擴展名的文件的鏈接不引人懷疑。"

如果目標(biāo)點擊了鏈接，BazarLoader就會下載并在受害者的機器上執(zhí)行。這些鏈接通常會直接指向到一個帶有數(shù)字簽名的可執(zhí)行文件，其圖標(biāo)為Adobe PDF圖形。研究人員指出，惡意文件的名稱通常為presentation-document.exe、preview-document-[number].exe或annualreport.exe。

這些可執(zhí)行文件在運行時，會將一個DLL有效載荷注入到一個合法進程中，比如Windows的powershell，cmd.exe等。

研究人員解釋說："該惡意軟件只會在內(nèi)存中運行，無法被終端上的保護工具在對文件系統(tǒng)的掃描時檢測到，因為它從未被寫入到文件系統(tǒng)中，文件本身甚至?xí)皇褂煤戏ǖ?DLL文件后綴，因為不管它們是否有后綴;操作系統(tǒng)都會運行這些文件。"

BazarCall 攻擊活動

在第二次攻擊活動中，Sophos發(fā)現(xiàn)這些垃圾郵件沒有任何可疑之處：郵件正文中沒有提到任何形式的個人信息，也沒有鏈接和文件附件。

研究人員解釋說："所有的內(nèi)容都會聲稱收件人目前正在使用的網(wǎng)絡(luò)服務(wù)的免費試用期將在接下來的一兩天內(nèi)到期，并在郵件中嵌入了一個收件人需要撥打的電話號碼，用戶可以選擇是否繼續(xù)進行續(xù)費"

如果目標(biāo)決定撥打電話，另一邊的客服會給他們一個網(wǎng)站地址，聲稱受害者可以在那里取消該服務(wù)的訂閱。

根據(jù)Sophos的說法，這些設(shè)計精美、外觀很正式的網(wǎng)站在常見問題的頁面中設(shè)置了一個退訂按鈕，點擊該按鈕網(wǎng)站就會提供一個惡意的Office文檔(Word文檔或Excel電子表格)，打開后會用同樣的BazarLoader惡意軟件感染用戶的計算機。

這些信息聲稱是來自一家名為 "醫(yī)療提醒服務(wù)"(Medical Reminder Service)的公司，并在信息的正文中包含了一個電話號碼，和一個位于洛杉磯的辦公樓的街道地址。但在4月中旬，一個名為BookPoint的虛假的在線付費借閱圖書館也在使用這些信息進行攻擊。

在BookPoint的攻擊中還使用了一串長長的數(shù)字代碼，要求用戶輸入該數(shù)字代碼就可以 "取消訂閱"。

就感染的套路而言，這些所謂的 "BazarCall "攻擊活動中的攻擊者都會使用惡意的微軟Office文檔，這些文檔會使用命令來投放和執(zhí)行一個或多個DLL有效載荷。

和Trickbot有聯(lián)系?

研究人員一直在懷疑BazarLoader可能與TrickBot的操作者有關(guān)或者是由TrickBot操作者編寫的。TrickBot是另外一種經(jīng)常用于勒索軟件攻擊的一級加載器惡意軟件。

Sophos研究了其中的聯(lián)系，發(fā)現(xiàn)這兩種惡意軟件都使用了一些相同的基礎(chǔ)設(shè)施來進行攻擊和控制。

根據(jù)發(fā)布的信息稱："我們可以看出，在實驗室網(wǎng)絡(luò)中運行的BazarLoader惡意軟件與TrickBot沒有相似之處，但它們確實在和一個IP地址進行通信，而這個IP地址在歷史上一直被兩個惡意軟件家族共同使用。當(dāng)然，過去也有很多人研究過這種聯(lián)系。"

研究人員補充說，無論如何，BazarLoader似乎還處于發(fā)展的早期階段，并不像TrickBot等這樣更成熟的家族那樣復(fù)雜。

他們說："例如，雖然早期版本的惡意軟件沒有被混淆加密，但最近發(fā)現(xiàn)的樣本可能會加密用于攻擊的字符串"

本文翻譯自：https://threatpost.com/bazarloader-malware-slack-basecamp/165455/