BazarBackdoor es un malware encubierto que se aprovecha para objetivos de alto valor y forman parte de herramientas del grupo TrickBot. Consta de dos componentes: un loader y un backdoor, los loaders son una parte esencial de cualquier campaña de ciberdelincuencia. Comienzan la cadena de infección distribuyendo un payload, posteriormente realizan la implementación y ejecución del backdoor desde la capa de comando y control (C2) y la colocan en el equipo de la víctima.
El grupo delictivo detrás de BazarBackdoor emplea el kit de software de penetración legítimo Cobalt Strike para la explotación a fin de enumerar y recopilar credenciales para hosts de red y directorio activo, cargando software de terceros como Lasagne y BloodHound, además de pivotar dentro del dominio de red ejecutando Ryuk ransomware.
La BazarLoader radica en su componente central sigiloso y su capacidad de ofuscación, el objetivo del malware es plantar en los objetivos de alto valor y llegar al servidor actualmente a través del proxy y el algoritmo de generación de dominio en el protocolo de dominio EmerDNS, buscando dominios bazar y resolviendo el servidor a través de la función XOR de la dirección IP de respuesta.
El malware pretendía ser sigiloso y solo cargar funciones más avanzadas a través de componentes de terceros, como las balizas Cobalt Strike. Tal sigilo permite al grupo delictivo mantener la persistencia en el host incluso si el software antivirus detecta el software de terceros.
En los ataques de red avanzados como el ransomware dirigido a empresas, el espionaje corporativo o los ataques de filtración de datos, el obtener acceso y un control silencioso sobre la red son un paso obligatorio.
Se cree que los desarrolladores de TrickBot están detrás de este backdoor, debido a las similitudes de código, los cifrados ejecutables y su infraestructura.
El ataque comienza con un correo electrónico de phishing, que utilizan una amplia variedad de señuelos, como quejas de clientes, informes de nómina temáticos COVID-19 y listas de terminación de empleados que contienen enlaces a documentos alojados en Google Docs.
Para enviar los correos electrónicos de phishing, los atacantes utilizan la plataforma de marketing por correo electrónico Sendgrid.
Cada una de las páginas de destino pretende ser un documento de Word, una hoja de cálculo de Excel o un PDF, que no se puede ver correctamente y solicita al usuario que haga clic en un enlace para ver el documento correctamente. Cuando se hace clic en el enlace, se descargará un ejecutable que utiliza un icono y un nombre asociados con el icono que se muestra en la página de destino.
Como Windows no muestra las extensiones de archivo de manera predeterminada, la mayoría de los usuarios verán “Preview.PDF” o “PreviewReport.DOC” y los abrirán pensando que son documentos legítimos de Word y PDF. Pero en realidad, este es el loader del backdoor llamado “BazaLoader”.