Alors que les passerelles de messagerie deviennent plus efficaces pour détecter les messages malveillants, les opérateurs du sinistre malware BazarBackdoor ont recours à un changement de tactique.
Selon des rapports de Ordinateur qui sonne, le groupe TrickBot, qui a créé le logiciel malveillant, n’essaie plus d’infecter les nouveaux terminaux directement par e-mail, mais plutôt via les formulaires de contact du site Web.
Citant un rapport d’experts en cybersécurité Abnormal Security, la publication indique que la nouvelle campagne a probablement débuté en décembre 2021, ciblant les terminaux des entreprises avec Cobalt Strike ou un ransomware.
Déploiement de la DLL BazarBackdoor
La méthode est simple : au lieu d’envoyer directement un e-mail, l’auteur de la menace utilisera des formulaires de contact d’entreprise pour lancer la communication, se faisant le plus souvent passer pour une entreprise demandant un devis de fourniture de produits.
Une fois que la cible répond au message, l’attaquant enverra un fichier ISO malveillant, affirmant qu’il est pertinent pour la communication. Cependant, le fichier ISO ne sera pas joint directement, mais sera d’abord téléchargé sur des services de partage de fichiers tiers, tels que TransferNow ou WeTransfer.
L’archive ISO contient deux fichiers, suggèrent les chercheurs : un fichier .lnk et un fichier .log. En regroupant ces fichiers et en demandant à la victime de les extraire manuellement après le téléchargement, les acteurs de la menace espèrent échapper à tous les services de protection des e-mails que la cible aurait pu mettre en place.
Une fois que la cible exécute le fichier .lnk, elle ouvre une fenêtre de terminal et charge le fichier .log – la DLL BazarBackdoor.
BazarBackdoor est conçu pour fournir à ses opérateurs un accès à distance à un appareil interne et, en tant que tel, est généralement utilisé comme un tremplin vers le déploiement de logiciels malveillants ou de rançongiciels plus destructeurs.
Étant donné que BazarBackdoor est la première étape d’une attaque en plusieurs étapes, les chercheurs s’attendent à ce que le logiciel malveillant déploie la charge utile de la deuxième étape. Cependant, de nombreuses adresses IP C2 sont hors ligne, empêchant les chercheurs de découvrir la fin de partie de la campagne.
Via BleepingComputer