Το Bazar backdoor συνδέεται με εκστρατείες του Trickbot banking trojan

Μια νέα οικογένεια malware φαίνεται να συνδέεται με τους χάκερ που κρύβονται πίσω από εκστρατείες του Trickbot, ένα trojan που κλέβει πληροφορίες. Οι ερευνητές της “Cybereason Nocturnus” ανέφεραν ότι από τον Απρίλιο, το backdoor έχει χρησιμοποιηθεί σε επιθέσεις, των οποίων οι στόχοι βρίσκονταν στην Ευρώπη και σε όλες τις ΗΠΑ. Συγκεκριμένα, στο επίκεντρο αυτών των επιθέσεων βρέθηκαν οργανισμοί που σχετίζονται με τον κλάδο της υγειονομικής περίθαλψης, της πληροφορικής, των ταξιδιών, των κατασκευών, καθώς και χρηματοοικονομικοί οργανισμοί. Επιπλέον, οι ερευνητές επεσήμαναν πως τον Απρίλιο παρουσιάστηκαν οι πρώτες παραλλαγές του malware, ωστόσο στη συνέχεια παρατηρήθηκε ένα “κενό” δύο περίπου μηνών, με ένα νέο δείγμα να εμφανίζεται τον Ιούνιο, έχοντας βελτιωμένο κώδικα και διορθώσεις.

Το Trickbot είναι ένα banking trojan που κλέβει πληροφορίες και χρησιμοποιείται σε επιθέσεις που στοχεύουν χρηματοοικονομικές υπηρεσίες και οργανισμούς. Το malware εξελίχθηκε με την πάροδο των χρόνων, αποτελώντας έναν data stealer και botnet facilitator, με μια υποδομή που διευκολύνει τους χειριστές του να τροποποιούν τον κώδικα και να βελτιώνουν τις επιθετικές του δυνατότητές.
Στις αρχές του έτους, οι χειριστές του Trickbot δημιούργησαν το PowerTrick, ένα backdoor που προορίζεται για στόχους “υψηλής αξίας”. Η εισαγωγή του Bazar malware, το οποίο είναι συνδυασμός loader και backdoor, είναι ένα άλλο “όπλο” που χρησιμοποιείται στις εκστρατείες του Trickbot.

Οι phishing εκστρατείες που σχετίζονται με την πανδημία του COVID-19, τα παράπονα των πελατών και τη μισθοδοσία των εργαζομένων, χρησιμοποιούνται για τη διάδοση του malware. Ενώ οι περισσότερες εκστρατείες του Trickbot χρησιμοποιούν κακόβουλα συνημμένα, το Bazar backdoor εξαπλώνεται μέσω phishing email που αποστέλλονται μέσω της πλατφόρμας email μάρκετινγκ “Sendgrid”, τα οποία συνδέονται με σελίδες προορισμού με “δόλωμα” για previews εγγράφων που φιλοξενούνται στo Google Docs.

Προκειμένου να προσελκύσουν τα υποψήφια θύματα στη λήψη κακόβουλων εγγράφων, η σελίδες ισχυρίζονται ότι τα previews δεν είναι διαθέσιμα. Μετά τη λήψη και την εκτέλεση των εγγράφων, το loader element οδηγεί σε ένα μολυσμένο σύστημα. Επιπλέον, το Bazar και τα Trickbot loaders φαίνεται να έχουν τον ίδιο κώδικα. Στη συνέχεια, το loader θα προσπαθήσει να εισαχθεί σε svchost, explorer ή cmd για να βεβαιωθεί ότι εκτελείται αυτόματα “με οποιοδήποτε κόστος”, σύμφωνα με την Cybereason, ενώ είναι προγραμματισμένο ένα task για τη φόρτωση του malware κατά την εκκίνηση.

To Bazar backdoor φορτώνεται απευθείας στη μνήμη για να αποφευχθεί ο εντοπισμός του. Το Bazar, από το οποίο έχουν εντοπιστεί τρεις εκδόσεις σε διάφορα στάδια ανάπτυξης, συλλέγει και κλέβει δεδομένα συστημάτων, δημιουργεί μια σύνδεση με το command-and-control (C2) και μπορεί να εκτελεί πολλές λειτουργίες. Μεταξύ των λειτουργιών περιλαμβάνονται η δημιουργία ενός μοναδικού ID για κάθε μολυσμένη συσκευή, η λήψη αρχείων και η εκτέλεση αρχείων DLL, ο τερματισμός διαδικασιών και η αυτοκαταστροφή.

Σύμφωνα με την Cybereason, ο συνδυασμός loader και backdoor μπορεί να χρησιμοποιηθεί για τη λήψη και την ανάπτυξη πρόσθετων malware payloads, όπως το ransomware, καθώς και για την εξαγωγή πληροφοριών και την μεταφορά τους στο C2 του εισβολέα. Επίσης, τα domains που χρησιμοποιούνται για τη διευκόλυνση του Bazar loader και backdoor βασίζονται σε blockchain, συμπεριλαμβανομένου του EmerDNS.

Οι ερευνητές της Cybereason αναφέρουν ότι σύμφωνα με την έρευνά τους, οι χάκερ χρειάστηκαν χρόνο για να επανεξετάσουν και να βελτιώσουν τον κώδικά του Trickbot trojan, καθιστώντας το malware πιο “ύπουλο”. Τέλος, επισημαίνουν πως παρόλο που αυτό το malware βρίσκεται ακόμη σε στάδια ανάπτυξης, οι τελευταίες βελτιώσεις και η επανεμφάνισή του ίσως αποτελούν ένδειξη ανάδυσης μιας νέας τρομερής απειλής.