Detección de Malware BazarLoader

[post-views]
junio 25, 2021 · 4 min de lectura
Detección de Malware BazarLoader

Los expertos advierten sobre un enfoque inusual para infectar objetivos con BazarLoader una cepa notoria utilizada con frecuencia para entregar ransomware. El colectivo de hackers, denominado BazarCall, abusa de la funcionalidad de los centros de llamadas para engañar a las víctimas a descargar el software malicioso. La campaña ha estado activa desde al menos febrero de 2021, agregando continuamente nuevos trucos para aumentar su notoriedad.

Cadena de ataque de BazarCall

Según la investigación de Palo Alto Networks, la cadena de ataque típicamente comienza con un correo electrónico de phishing que suplanta al equipo de soporte del servicio. El correo electrónico lleva una notificación falsa para advertir a la víctima sobre el final de una suscripción de prueba y el próximo cobro. Para evitar el cargo, se insta a las víctimas a llamar a un número de teléfono de un centro de ayuda para recibir más orientación. Si las víctimas son engañadas para realizar la llamada, el operador las dirige a un sitio web de una empresa falsa, asegurándose de que descarguen un documento malicioso de Excel y habiliten macros. Como resultado, las instalaciones de Windows se infectan con BazarLoader. Además, expertos en seguridad señalan que el kit de pruebas de penetración Cobalt Strike a menudo se usa como malware de seguimiento. Los hackers de BazarCall lo aprovechan para robar credenciales de la base de datos de Active Directory y realizar movimientos laterales dentro de la red comprometida.

Recientemente, la nefasta campaña ha captado la atención del equipo de Inteligencia de Seguridad de Microsoft. A medida que observan un número creciente de correos electrónicos de phishing dirigidos a usuarios de Office 365, los expertos de Microsoft están investigando ahora la actividad maliciosa de BazarCall. Para potenciar las actividades de la comunidad, han lanzado una página dedicada de GitHub dirigida a compartir los detalles sobre la campaña en curso.

¿Qué es BazarLoader?

BazarLoader es una cepa de malware popular utilizada frecuentemente por varios actores de amenazas para desplegar cargas útiles de segunda etapa en la red objetivo. Está escrito en C++ y ha estado activo en el ámbito malicioso desde al menos 2020.

El malware proporciona acceso a puerta trasera a la máquina Windows objetivo y permite a los hackers enviar cepas maliciosas de seguimiento, realizar reconocimiento y explotar otros dispositivos expuestos en el entorno comprometido. Anteriormente, fue activamente utilizado por los mantenedores de Ruyk como un descargador para la carga útil final del ransomware.

Recientemente, los investigadores observaron un desarrollo importante en los métodos de infección de BazarLoad. Además de un enfoque de centro de llamadas falso, se detectó que se entregaba a través de herramientas de colaboración populares como Slack y BaseCamp. En todos los casos, BazarLoad aprovecha la infraestructura de comando y control de Trickbot para su operación. Por lo tanto, los profesionales de seguridad sospechan que los mantenedores de Trickbot podrían estar detrás de la actividad maliciosa mencionada.

Detección de la campaña BazarCall

Para detectar el malware BazarLoader entregado en el curso de la campaña BazarCall, puede descargar una regla Sigma de la comunidad desarrollada por nuestro entusiasta desarrollador de Threat Bounty Osman Demir

https://tdm.socprime.com/tdm/info/YsgLz3RxzMT5/#sigma

La regla tiene traducciones a los siguientes idiomas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Securonix

EDR: SentinelOne, Carbon Black

MITRE ATT&CK: 

Tácticas: Ejecución, Evasión de defensa

Técnicas: Intérprete de comandos y secuencias de comandos (T1059), Ejecución de proxy binario firmado (T1218)

Para verificar la lista completa de contenido del Mercado de Detección de Amenazas asociado con el malware BazarLoader, puede seguir este enlace

Suscríbete al Mercado de Detección de Amenazas de forma gratuita y accede a la plataforma líder de Contenido como Servicio (CaaS) que impulsa el flujo de trabajo completo CI/CD para la detección de amenazas. Nuestra biblioteca agrega más de 100K elementos de contenido SOC calificados, cruzados entre proveedores y herramientas y mapeados directamente a los marcos CVE y MITRE ATT&CK®. ¿Entusiasta de crear tus propias reglas Sigma? ¡Únete a nuestro programa de Threat Bounty y recibe recompensas por tu aporte!

Ir a la plataforma Únete a Threat Bounty

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Últimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko