Cybersicherheit: Der Angreifer verwendet die Kontaktformulare von Websites, um BazarLoader-Malware zu verbreiten

Eine neue Social-Engineering-Methode verbreitet diese Malware, auf die man leicht hereinfallen kann. Hier ist, was es tut und wie man es vermeidet.

Bild: djedzura/iStock

Jeder in der IT-Branche sollte sich inzwischen darüber im Klaren sein, dass E-Mails der am häufigsten verwendete Vektor für Cyberkriminelle sind, um zu versuchen, Mitarbeiter mit Malware zu infizieren. Wenn sie jedoch zum ersten Mal über das Kontaktformular ihrer Website angesprochen werden, sehen die Dinge möglicherweise anders und völlig legitim aus, was ein falsches Gefühl der Sicherheit weckt. Hier erfahren Sie, wie diese neue Social-Engineering-Methode verwendet wird, um die berüchtigte BazarLoader-Malware zu verbreiten, und wie Sie sich davor schützen können.

Was ist BazarLoader und wie viel davon eine Bedrohung, oder?

BazarLoader ist eine heimliche und fortschrittliche Malware, die als Infizierer der ersten Stufe verwendet wird . Sobald ein Computer damit infiziert ist, lädt er andere Malware herunter und führt sie aus. BazarLoader wurde entwickelt, um sehr unauffällig und widerstandsfähig zu sein, und wurde in der Vergangenheit für Kampagnen mit verschiedenen Arten von Malware wie TrickBot, Ryuk-Ransomware und Conti-Ransomware, um nur einige zu nennen, verwendet. Es wird angenommen, dass es von der Trickbot-Bande entwickelt wurde.

SIEHE: Passwort Verstoß: Warum Popkultur und Passwörter nicht zusammenpassen (kostenloses PDF) (TechRepublic)

BazarLoader verwendet das EmerDNS-System, das aus einer Blockchain besteht, auf der Domainnamen-Einträge vollständig dezentralisiert und unzensierbar sind, was ein Aspekt ist, den Emercoin klar feststellt (Abbildung A).

Abbildung A

Bild: Emercoin. Emercoins Beschreibung von EmerDNS.

Dies macht die Malware sehr widerstandsfähig , da niemand außer der Person, die im Besitz des privaten Blockchain-Schlüssels der Domain ist, in der Lage ist, diese abzuschalten Controller haben innovative Wege genutzt, um es zu verbreiten und Benutzer im Laufe der Zeit zu infizieren. Beispielsweise verwendeten sie E-Mails, die keine Links oder angehängte Dateien enthielten, und gaben vor, ein Unternehmen zu sein, dessen kostenloser Testdienst bald ablaufen würde, und die Kreditkarte des Empfängers würde innerhalb von ein oder zwei Tagen mit der Zahlung des Abonnements belastet. Um diese Zahlung zu stornieren, musste der Benutzer eine Nummer anrufen, die von den Betrügern betrieben wurde. Sie würden dann einen Link bereitstellen, um den Benutzer zu infizieren. Diese Technik eignet sich besonders gut, um jede Bedrohungserkennung zu umgehen, da kein Link oder keine Datei per E-Mail gesendet wurde. Sie haben auch kompromittierte Software-Installer von VLC und Teamviewer verwendet, um ihre Ziele zu infizieren.

BazarLoaders neuer Verbreitungskanal: Website-Kontaktformulare

Abnormal hat kürzlich einen neuen innovativen Weg der BazarLoader-Controller entdeckt, um ihre Malware zu verbreiten und Benutzer zu infizieren.

Bei diesem neuen Infektionsschema nehmen die Cyberkriminellen zunächst über die Kontaktformulare der Website der Organisationen Kontakt auf. Das Beispiel von Abnormal, einem Cybersicherheitsunternehmen, entlarvt einen Angreifer, der vorgibt, ein kanadisches Luxusbauunternehmen zu sein, das nach einem Angebot für ein vom Ziel bereitgestelltes Produkt sucht.

Sobald das Ziel per E-Mail antwortet, stellt der Angreifer seine Tarnidentität fest, bevor er Social-Engineering-Methoden einsetzt, um das Opfer dazu zu bringen, eine bösartige Datei herunterzuladen, die den Computer mit einer BazarLoader-Malware-Variante infiziert.

In dem von Abnormal gemeldeten Beispiel erwähnt eine erste E-Mail-Antwort des Angreifers, dass zusätzliche Informationen in einer separaten E-Mail eintreffen werden (Abbildung B).

Abbildung B

Bild: Anormal. Die E-Mail-Antwort des Angreifers.

Innerhalb von a Minute landet die zweite E-Mail des Angreifers im Postfach des Opfers und stammt von den Onlinediensten TransferNow oder WeTransfer (Abbildung C ).

Abbildung C

Image: Abnormal. The TransferNow email containing the download link to the malicious file.

Bild: Anormal. Die TransferNow-E-Mail mit dem Download-Link zur schädlichen Datei.

)Die heruntergeladene Datei ist nicht die übliche .exe-Datei oder eine infizierende XLSX- oder DOCX-Datei, die man erwarten könnte.

Die Datei ist eine .ISO-Datei mit zwei Komponenten. Die erste gibt vor, ein Ordner zu sein, ist aber eigentlich eine .LNK-Verknüpfung, während die zweite eine DLL-Datei ist, die vorgibt, eine .LOG-Datei zu sein (Abbildung D).

Abbildung D

    Bild: Anormal. Dateien, die in der von den Angreifern gesendeten .ISO-Datei enthalten sind.

    Sobald auf die Verknüpfung geklickt wird, führt sie eine Befehlszeilenanweisung aus, um die zweite Datei über regsvr zu starten .exe. Diese zweite Datei ist eine BazarLoader-DLL-Datei.

    Der letzte Schritt, BazarLoader, der sich eine andere Malware schnappt und sie startet, konnte von Abormal nicht gefunden werden. Das Beispiel hat jedoch versucht, eine Verbindung zu einer IP-Adresse herzustellen, die zuvor als sich verbreitende Ransomware, Trojaner oder Bitcoin-Miner gekennzeichnet wurde.

    So schützen Sie sich vor diese Art von Angriff

    Der in diesem Artikel aufgedeckte Angriff basiert wie so oft auf Social Engineering. Der Angreifer stellt einen ersten Kontakt über ein Kontaktformular her, wartet dann darauf, dass das Ziel ihn per E-Mail kontaktiert, und verleitet das Ziel dazu, eine Datei zu öffnen, die von einem legitimen Online-Dateilieferdienst stammt. Auf diese Weise könnten Opfer das falsche Gefühl bekommen, eine sichere Datei zu öffnen, was zu einer Infektion führt.

    Jede Datei, die aus einer unbekannten Quelle stammt, sollte es sein sorgfältig gehandhabt und nicht sofort ausgeführt. Mehrere Schritte sind nützlich, um festzustellen, ob die Datei sicher ist oder nicht:

    Lassen Sie die Datei von einem Sicherheitsprodukt analysieren, das mehr leistet als nur eine signaturbasierte Erkennung Malware.

Wenn möglich, lassen Sie die Datei in einer Sandbox analysieren, um neben der statischen Analyse auch eine Verhaltensanalyse zu haben. Diese Analyse sollte von der IT-Abteilung oder von Analysten mit umfassenden Malware-Kenntnissen durchgeführt werden.

Im Zweifelsfall öffnen Sie die Datei in einer virtuellen Maschine mit einem Snapshot-System, also dass, sobald die Datei ausgeführt und die Analyse abgeschlossen ist, die virtuelle Maschine wieder in ihren Zustand vor dem Start gebracht werden kann.

3953372Offenlegung: 39533723953372 Ich arbeite für Trend Micro, aber die in diesem Artikel geäußerten Ansichten sind meine.

Ähnliche Artikel

Schaltfläche "Zurück zum Anfang"