«Главными преимуществами BazarLoader являются скрытность и возможности обфускации», — сообщили исследователи безопасности из Advanced Intel.
Атака с использованием BazarLoader начинается с фишинговой атаки. После заражения компьютера BazarLoader будет использовать технику атак Process Hollowing для внедрения компонента BazarBackdoor в легитимные процессы Windows, такие как cmd.exe, explorer.exe и svchost.exe. Запланированная задача создается для загрузки BazarLoader каждый раз, когда пользователь входит в систему.
BazarBackdoor также загружает маяк Cobalt Strike, обеспечивающий злоумышленникам удаленный доступ, которые затем начинают устанавливать такие инструменты, как BloodHound и Lasagne, для сопоставления домена Windows и извлечения учетных данных.
Злоумышленники стали использовать BazarLoader, поскольку защитные решения стали чаще обнаруживать TrickBot. Вредоносная программа BazarBackdoor создана с целью быть незаметной и загружать более сложные функции только через сторонние компоненты, такие как маяки Cobalt Strike. Такая скрытность позволяет преступной группировке сохранять персистентность на системе, даже если вредоносное ПО обнаруживается антивирусным решением.
В конечном итоге злоумышленники загружают программу-вымогатель Ryuk в сеть и требуют у жертвы огромный выкуп. Как ранее писал SecurityLab, атака с использованием вымогательского ПО Ryuk занимает 29 часов – начиная от отправки жертве электронного письма и заканчивая полной компрометацией среды и шифрованием систем.
Напомним, на этой неделе специалисты Microsoft отключили ключевую инфраструктуру вредоноса TrickBot, так что операторы TrickBot больше не смогут заражать новые системы или активировать уже установленное вымогательское ПО.