BazarBackdoor es una pequeña puerta trasera, probablemente por un “spin-off” de TrickBot como ancla. Se llama puerta trasera team9 (y el cargador correspondiente: cargador de reinicio team9).
Por ahora, utiliza exclusivamente dominios Emercoin (.bazar), de ahí el naming. FireEye usa KEGTAP como nombre para BazarLoader y BEERBOT para BazarBackdoor.
Bazar (que ha sido clasificado como la familia de malware Team9 que está desarrollando el grupo detrás de Trickbot) es un troyano de puerta trasera diseñado para atacar un dispositivo, recopilar información confidencial, controlar el sistema a través de comandos y entregar malware. El año pasado, se observó la entrega del malware TrickBot.
FortiGuard Labs notó recientemente un correo electrónico sospechoso a través del sistema de monitoreo de SPAM. Este correo electrónico fue diseñado para incitar a la víctima a abrir una página web para descargar un archivo ejecutable. Una investigación adicional sobre este archivo ejecutable encontró que es una nueva variante de Bazar. En esta publicación, puede esperar aprender qué nuevas técnicas utiliza este Bazar para realizar un análisis anti-análisis, cómo se comunica con su servidor C2, qué datos confidenciales puede recopilar del dispositivo de la víctima y cómo puede enviar otro malware a el sistema de la víctima.
El archivo descargado (Priview_report20-01 [.] Exe) es un archivo ejecutable que utiliza un icono similar a un documento PDF para engañar a la víctima prevista. De forma predeterminada, Windows oculta la extensión real (por ejemplo, “.exe”).
La figura 2.1 muestra un análisis rápido del archivo. El lado izquierdo de la imagen muestra lo que ve la víctima y el lado derecho muestra lo que ven los investigadores en una herramienta de análisis de EP. (PE, o Portable Executable, es el formato nativo de archivos binarios ejecutables [DLL, controladores y programas] para los sistemas operativos Microsoft Windows® de 32 bits).
El archivo descargado (Priview_report20-01 [.] Exe) es un archivo ejecutable que utiliza un icono similar a un documento PDF para engañar a la víctima prevista. De forma predeterminada, Windows oculta la extensión real (por ejemplo, “.exe”).
La figura 2.1 muestra un análisis rápido del archivo. El lado izquierdo de la imagen muestra lo que ve la víctima y el lado derecho muestra lo que ven los investigadores en una herramienta de análisis de EP. (PE, o Portable Executable, es el formato nativo de archivos binarios ejecutables [DLL, controladores y programas] para los sistemas operativos Microsoft Windows® de 32 bits).
La víctima puede asumir que el archivo es un documento PDF real y hacer doble clic en él para abrir el “informe” sin darse cuenta de que se está ejecutando un archivo ejecutable en segundo plano.
El archivo ejecutable descargado se reconoce como un archivo de 64 bits en la herramienta de análisis, lo que significa que solo se puede ejecutar en sistemas operativos Microsoft Windows de 64 bits.
Después de analizar este archivo, me di cuenta de que este archivo es un cargador de Bazar.
Una vez que se inicia el cargador de Bazar, se carga en su memoria un recurso encriptado que se esconde en el “Directorio de fuentes” con el ID “339” (hexadecimal 153H). En la Figura 2.2 puede ver los datos del recurso que se muestran en una herramienta de análisis.
Al descifrar los datos del recurso, se descubre un fragmento de código ASM (lenguaje ensamblador) y un archivo PE. Este código ASM, llamado por el cargador de Bazar, implementa dinámicamente el archivo PE en la memoria y lo ejecuta. La Figura 2.3 es una captura de pantalla de un depurador, que muestra dónde el código ASM estaba a punto de llamar al OEP (Punto de entrada original) del archivo PE implementado. Este archivo PE es el verdadero cargador de Bazar.
