Rilevamento Malware BazarLoader

[post-views]
Giugno 25, 2021 · 4 min di lettura
Rilevamento Malware BazarLoader

Gli esperti avvertono di un approccio insolito per infettare bersagli con BazarLoader una nota variante usata frequentemente per consegnare ransomware. Il collettivo di hacker, chiamato BazarCall, sfrutta la funzionalità dei call center per ingannare le vittime a scaricare il payload malevolo. La campagna è attiva almeno dal febbraio 2021, aggiungendo continuamente nuovi trucchi per aumentare la sua notorietà.

Catena di Attacco BazarCall

Secondo l’ indagine di Palo Alto Networks, la catena di attacco tipicamente inizia con un’email di phishing che si spaccia come servizio di supporto. L’email include una notifica falsa per avvisare la vittima della fine di un abbonamento di prova e dell’imminente addebito. Per evitare l’addebito, le vittime sono invitate a chiamare un numero di telefono di un centro assistenza per ulteriori istruzioni. Se le vittime vengono ingannate a fare la chiamata, l’operatore le guida su un sito web fasullo dell’azienda, assicurandosi che scarichino un documento Excel malevolo e abilitino le macro. Di conseguenza, le installazioni Windows vengono infettate con BazarLoader. Inoltre, gli esperti di sicurezza notano che il kit di pentest Cobalt Strike è spesso usato come malware di follow-up. Gli hacker di BazarCall lo sfruttano per rubare le credenziali del database Active Directory e per effettuare spostamenti laterali all’interno della rete compromessa.

La nefasta campagna ha recentemente catturato l’attenzione del team di Microsoft Security Intelligence. Poiché osservano un numero crescente di email di phishing che prendono di mira gli utenti di Office 365, gli esperti di Microsoft ora stanno indagando sull’attività malevola di BazarCall. Per sostenere le attività della comunità hanno lanciato una pagina GitHub dedicata mirata a condividere i dettagli sulla campagna in corso.

Cos’è BazarLoader?

BazarLoader è una variante di malware popolare frequentemente utilizzata da vari attori maligni per distribuire payload di seconda fase alla rete bersagliata. È scritto in C++ ed è attivo nell’arena malevola almeno dal 2020.

Il malware fornisce accesso backdoor alla macchina Windows bersagliata e permette agli hacker di inviare ulteriori varianti malevole, svolgere operazioni di ricognizione ed esplorare altri dispositivi esposti nell’ambiente compromesso. In precedenza, era attivamente utilizzato dai manutentori di Ruyk come downloader per il payload finale del ransomware.

Recentemente, i ricercatori hanno osservato un importante sviluppo dei metodi di infezione di BazarLoad. Oltre all’approccio del finto call center, il malware è stato individuato ad essere distribuito tramite strumenti di collaborazione popolari come Slack e BaseCamp. In tutti i casi, BazarLoad sfrutta l’infrastruttura di comando e controllo di Trickbot per le operazioni. Pertanto, i praticanti della sicurezza sospettano che i manutentori di Trickbot possano essere dietro l’attività malevola menzionata.

Rilevamento della Campagna BazarCall

Per rilevare malware BazarLoader distribuito nel corso della campagna BazarCall, è possibile scaricare una regola Sigma della comunità sviluppata dal nostro abile sviluppatore Threat Bounty Osman Demir

https://tdm.socprime.com/tdm/info/YsgLz3RxzMT5/#sigma

La regola ha traduzioni nelle seguenti lingue:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Securonix

EDR: SentinelOne, Carbon Black

MITRE ATT&CK: 

Tattiche: Esecuzione, Evasione della Difesa

Tecniche: Interprete di Comandi e Script (T1059), Esecuzione Proxy di Binary Firmati (T1218)

Per controllare l’elenco completo del contenuto del Threat Detection Marketplace associato al malware BazarLoader, è possibile seguire questo link

Iscriviti al Threat Detection Marketplace gratuitamente e accedi alla piattaforma leader del settore Content-as-a-Service (CaaS) che alimenta il flusso di lavoro CI/CD completo per il rilevamento di minacce. La nostra biblioteca aggrega oltre 100.000 elementi di contenuto SOC qualificati, cross-vendor e cross-tool, mappati direttamente ai quadri CVE e MITRE ATT&CK®. Ti entusiasma creare le tue regole Sigma? Unisciti al nostro programma Threat Bounty e vieni ricompensato per il tuo contributo!

Vai alla Piattaforma Unisciti a Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko