Desde abril de 2020, el equipo de Cybereason Nocturnus ha estado investigando la aparición del malware Bazar, un cargador y una puerta trasera que se utiliza para recopilar datos sobre la máquina infectada y para implementar malware adicional. En este análisis, mostramos cómo se envía el malware Bazar a través de correos electrónicos de phishing que aprovechan la pandemia de coronavirus en curso, los informes de nómina de empleados y las quejas de los clientes.
El malware Bazar parece tener fuertes vínculos con las campañas de Trickbot que se asemejan a las observadas en la colaboración Trickbot-Anchor de diciembre de 2019 . Después de una mayor investigación, está claro que la misma cadena de infección entrega el cargador Bazar en lugar del descargador Trickbot habitual.
El cargador de Bazar y la puerta trasera de Bazar llevan el nombre de su uso de los dominios de cadena de bloques de EmerDNS . El uso de dominios Bazar ha sido una tendencia recientemente entre los ciberdelincuentes porque pueden evadir los derribos y los hundimientos que interrumpen las comunicaciones de las redes de bots.
El cargador de Bazar le da al atacante su punto de apoyo inicial en el medio ambiente, mientras que la puerta trasera de Bazar establece la persistencia. Juntos, el cargador y la puerta trasera brindan a los actores de amenazas la oportunidad de implementar otras cargas útiles como ransomware y marcos posteriores a la explotación como CobaltStrike, así como exfiltrar datos y ejecutar comandos de forma remota en las máquinas infectadas. La puerta trasera de Bazar puede provocar la interrupción de la continuidad del negocio, la pérdida de datos y un compromiso total, lo que socava la confianza en una organización.
Hay varias versiones diferentes de la puerta trasera de Bazar y su cargador, lo que muestra que el malware está en desarrollo activo. Este artículo analiza el cargador Bazar y la funcionalidad de la puerta trasera junto con elementos que muestran sus vínculos con las colaboraciones de Trickbot similares a las de Trickbot-Anchor de 2019. Nuestro análisis se centrará principalmente en el cargador Bazar, ya que es especialmente evasivo dados nuestros hallazgos de su reciente revisión. aparición.
El equipo de Cybereason Nocturnus analizó las versiones operativas y de desarrollo del cargador y la puerta trasera de Bazar. Para diferenciar entre las dos versiones de este artículo, reservamos el nombre “Team9” para las versiones de desarrollo y el nombre “Bazar” para las versiones operativas.
