BazarBackdoor se propage à l’aide d’archives RAR et ZIP

0

Des chercheurs en sécurité ont détecté une nouvelle campagne d’hameçonnage qui tentait de diffuser le malware BazarBackdoor en utilisant la technique de multi-compression et en le masquant sous la forme d’un fichier image.

La méthode d’archivage multi-compression ou imbriquée n’est pas nouvelle mais a gagné en popularité récemment car elle peut amener les passerelles de sécurité de messagerie(SEG) à étiqueter à tort les pièces jointes malveillantes comme étant propres.

Elle consiste à placer une archive dans une autre. Les chercheurs de Cofense affirment que cette méthode peut contourner certaines passerelles de messagerie sécurisées, qui peuvent avoir une limite concernant la profondeur de vérification d’un fichier compressé.

La nouvelle campagne de BazarBackdoor déployée plus tôt ce mois-ci a attiré les entreprises bénéficiaires avec un thème « Journée de l’environnement », officiellement célébrée le 5 juin.

BazarBackdoor

Les deux archives ZIP et RAR imbriquées jointes dans la pièce jointe contenaient un fichier JavaScript qui a finalement livré le malware BazarBackdoor de Trickbot, une porte dérobée furtive généralement utilisée sur des cibles d’entreprise pour fournir un accès à distance au pirate informatique.

Cofense a analysé la récente campagne de spam et a découvert que le rôle du fichier JavaScript hautement obscurci était de télécharger une charge utile avec une extension d’image.

BazarBackdoor

Cofense explique que « l’imbrication de divers types d’archives est intentionnelle par le pirate informatique car elle a la possibilité d’atteindre la limite de décompression du SEG ou d’échouer en raison d’un type d’archive inconnu ».

Les fichiers obscurcis peuvent également poser des problèmes à un SEG s’il existe plusieurs couches de cryptage pour la charge utile, ce qui augmente les chances que le fichier malveillant ne soit pas détecté.

« Une fois exécuté, le JavaScript obscurci téléchargerait une charge utile [BazarBackdoor] avec une extension .png via une connexion HTTP GET », explique Cofense, ajoutant que la charge utile est un exécutable avec la mauvaise extension.

Une fois déployé sur un ordinateur victime, BazarBackdoor peut télécharger et exécuter Cobalt Strike, une boîte à outils légitime conçue pour les exercices de post-exploitation, pour se propager latéralement dans l’environnement.

Après avoir eu accès à des systèmes de grande valeur sur le réseau, les acteurs malveillants peuvent lancer des attaques de ransomware, voler des informations sensibles ou vendre l’accès à d’autres cybercriminels.

Plus tôt cette année, des chercheurs en sécurité ont découvert une variante de BazarBackdoor écrite dans le langage de programmation Nim, montrant les efforts déployés par le développeur de Trickbot pour que le malware reste indétectable et pertinent pour les activités cybercriminelles.

Laisser un commentaire