BazarBackdoor es un nuevo malware con la capacidad de instalar varios tipos de programas maliciosos en las computadoras infectadas. Se cree que fue creado por los desarrolladores del troyano TrickBot , un troyano bancario que infecta las máquinas Windows. Esto se debe a que BazarBackdoor muestra código y otras similitudes con TrickBot Trojan.
BazarBackdoor se propaga a través de mensajes de phishing que supuestamente provienen de remitentes legítimos. Por ejemplo, los mensajes pueden incluir informes de nómina relacionados con COVID-19 y listas de empleados despedidos. La víctima potencial debe hacer clic en un enlace a documentos que parecen estar almacenados en Google Docs. Después de hacer clic en ese enlace, será redirigido a páginas de destino personalizadas que parecen ser documentos PDF, Word o Excel.
Las páginas de destino le piden a la víctima potencial que haga clic en un enlace para ver los archivos adjuntos. Después de hacer clic en el enlace, se descargará un archivo ejecutable que se relaciona con el nombre del archivo que aparece en la página de destino. Por ejemplo, una página de destino relacionada con los informes COVID-19 activará la descarga del archivo “PreviewReport.Doc.exe”. Dado que las extensiones de los archivos almacenados en computadoras con Windows generalmente no se muestran de forma predeterminada, la mayoría de los usuarios de Windows verán el archivo almacenado como “PreviewReport.Doc” en lugar de “PreviewReport.Doc.exe”. El archivo ejecutable, también conocido como BazaLoader, es un cargador de una puerta trasera.
Si la víctima abre BazaLoader, se instalará en la computadora infectada y permanecerá inactivo por un corto tiempo. A continuación, se conectará a un servidor de comando y control con el objetivo de descargar una puerta trasera. Cuando se instala la puerta trasera, descargará e iniciará Cobalt Strike, una aplicación legítima de seguridad de la información. Los estafadores a menudo usan versiones pirateadas de Cobalt Strike para propagarse por una red, implementar malware y robar credenciales.
