Trickbot çete operatörleri artık Bazarloader Malware'i, yüksek hedefli bir spam kampanyasına mağdur olan hedeflerin sistemleri üzerine dağıtmak için Windows 10 App Installer'ı kullanıyor.
Bazarloader (AKA Bazarbackdoor, Bazaloder, Beerbot, Kegtap ve Team9backDoor), yüksek değerli hedeflerin ağlarını ödün vermek ve diğer siber suçlar için tehlikeye giren varlıklara erişim satmak için genellikle kullanılan gizli bir Backdoor Trojan'dır.
Ayrıca, tehdit aktörlerinin kurbanlarının ağlarına erişmesine yardımcı olan ve nihayetinde Ryuk Ransomware dahil ancak bunlarla sınırlı olmamak üzere tehlikeli kötü amaçlı yazılımları dağıtmasına yardımcı olan Kobalt Strike Beachons gibi ek yükler sunmak için de kullanılmıştır.
Sophoslabs Müdür Araştırmacı Andrew Brandt tarafından tespit edilen son kampanyada, saldırganların spam e-postaları, e-posta alıcısı hakkında müşteri şikayeti hakkında daha fazla bilgi isteyen bir şirket yöneticisi kullanarak tehdit edici bir dil kullanarak aciliyet duygusu uyandırır.
Bu şikayet sözde, Microsoft'un kendi bulut depolamasında barındırılan bir sitedeki bir PDF olarak incelemeye hazırdır (üzerinde * .web.core.windows.net alanları).
Sürtüye eklemek için, bu spam kampanyasının alıcı ucu üzerindeki bunlar, şemaya daha fazla güvenilirlik ekleyen bir AdObEView alt etki alanı kullanarak Bazarloader Backdoor'u yüklemek için çift taraflıdır.
Brandt, "Saldırganlar, bu sahte 'PDF indirme' sayfasını gün boyunca barındırmak için iki farklı web adresi kullandı" dedi.
"Her iki sayfa, Microsoft'un bulut deposunda da barındırıldı, bu belki de (kazanılmamış) özgünlük duygusu ve Hem .Antstaller hem de .Appbundle dosyaları her web sayfasının depolamasının kökünde barındırıldı."
Bununla birlikte, bir PDF belgesine işaret etmek yerine, kimlik avı iniş sitesindeki "Önizleme PDF" düğmesi, MS-AppInstaller ile bir URL'yi açar: Önek.
Düğmeye tıklandığında, tarayıcı önce, sitenin App Installer'ı açmasına izin vermek istiyorlarsa mağdurdan soran bir uyarı gösterecektir. Ancak, çoğu insan bir AdObeview görürken muhtemelen görmezden gelecektir. *. *. Web.core.windows.net Adres çubuğundaki etki alanı.
Uyarı iletişim kutusundaki "Aç" ı tıklatarak Microsoft'un Uygulama Yükleyicisi'ni başlatacak - Ağustos 2016'da Windows 10 Versiyonu 1607'nin piyasaya sürülmesinden bu yana, kurbanın cihazındaki kötü amaçlı yazılımları sahte bir Adobe PDF bileşeni biçiminde dağıtmak için Appx App Paketi olarak.
Bir kez başlatıldığında, App Installer ilk önce saldırganların kötü amaçlı bir şekilde indirilmesine başlayacaktır .Phinstaller dosyasını ve bir UpdateFix alt klasörü içinde yuvalanmış Security.exe adlı naned.
Yük yükü indirir ve başlatılan ve ortaya çıkan bir dll dosyasını çalıştırır ve bu da diğer çocuk işlemelerini ortaya çıkaran, nihayetini kötü amaçlı kodun başsız bir krom tabanlı kenar tarayıcı işlemine enjekte edilmesiyle sonuçlanır.
Enfekte cihaza dağıtıldıktan sonra, Bazarloader, sistem bilgilerini (örneğin, sabit disk, işlemci, anakart, kovan, halka bakan IP adresleri olan yerel ağdaki aktif ana bilgisayarlar) hasat etmeye başlayacaktır.
Bu bilgi, HTTPS GET veya Post Başlıklarıyla teslim edilen çerezler olarak kamufle edilen komut ve kontrol sunucusuna gönderilir.
Brandt, "Uygulama yükleyici demetleri içinde gelen kötü amaçlı yazılım genellikle saldırılarda görülmez. Ne yazık ki, şimdi sürecin gösterildiği, daha geniş ilgi çekmesi muhtemeldir" dedi.
"Güvenlik şirketleri ve yazılım satıcıları, onu tespit etmek ve engellemek ve saldırganların dijital sertifikaları kötüye kullanmasını engellemek için uygun koruma mekanizmalarına sahip olmaları gerekir."
Kötü amaçlı yazılım örnekleri, komuta ve kontrol sunucusu ve Sophoslabs 'Github sayfasında kaynak URL'ler dahil olmak üzere bu Bazarloader kampanyası ile ilgili uzlaşma (IOC'ler) göstergelerini bulabilirsiniz.
Microsoft, saldırganların, SOPHOS tarafından bildirildikten sonra 4 Kasım'da bu saldırılarda kötü amaçlı dosyalara ev sahipliği yapmak için kullanılan sayfaları başlattı.
Trickbot, Conti Ransomware saldırıları için Shatak Phishers ile takımlar
AMD onlarca Windows 10 grafik sürücüsü güvenlik hataları düzeltti
Kimlik Avı E-postaları ürkütücü zombi temalı mircop fidye yazılımı sağlar
Windows 10 21H1 şimdi geniş dağıtımda, herkes için kullanılabilir
Microsoft: Windows KB5006674, KB5006670 Güncellemeleri Break Printing
Kaynak: Bleeping Computer