Detecção de Malware BazarLoader
Índice:
Especialistas alertam sobre uma abordagem incomum para infectar alvos com BazarLoader — uma cepa notória frequentemente usada para entregar ransomware. O coletivo de hackers, chamado BazarCall, abusa da funcionalidade de centros de chamadas para enganar as vítimas a baixarem a carga maliciosa. A campanha está ativa desde pelo menos fevereiro de 2021, continuamente adicionando novos truques para aumentar sua notoriedade.
Cadeia de Ataque BazarCall
De acordo com a investigação da Palo Alto Networks, a cadeia de ataque geralmente começa com um e-mail de phishing se passando pela equipe de suporte ao serviço. O e-mail traz uma notificação falsa para alertar a vítima sobre o término de uma assinatura de teste e a cobrança iminente. Para evitar a cobrança, as vítimas são instadas a ligar para um número de telefone de um centro de ajuda para mais orientações. Se as vítimas forem enganadas a ligar, o operador as conduz a um site falso da empresa, garantindo que baixem um documento Excel malicioso e ativem macros. Como resultado, as instalações do Windows são infectadas com BazarLoader. Além disso, especialistas em segurança observam que o kit de pentest Cobalt Strike é frequentemente usado como um malware de acompanhamento. Hackers do BazarCall o utilizam para roubar credenciais do banco de dados do Active Directory e realizar movimento lateral dentro da rede comprometida.
A nefasta campanha recentemente chamou a atenção da equipe de Inteligência de Segurança da Microsoft. Como eles observam um número crescente de e-mails de phishing direcionados a usuários do Office 365, os especialistas da Microsoft estão agora investigando a atividade maliciosa do BazarCall. Para potencializar as atividades da comunidade, eles lançaram uma página dedicada no GitHub com o objetivo de compartilhar os detalhes sobre a campanha em andamento.
O Que é BazarLoader?
BazarLoader é uma cepa de malware popular frequentemente usada por vários atores de ameaça para instalar cargas de segunda fase na rede alvo. É escrito em C++ e está ativo na arena maliciosa desde pelo menos 2020.
O malware oferece acesso backdoor à máquina Windows alvo e permite que hackers enviem cepas maliciosas de acompanhamento, realizem reconhecimento e explorem outros dispositivos expostos no ambiente comprometido. Anteriormente, era ativamente usado por mantenedores do Ruyk como um downloader para a carga de ransomware final.
Recentemente, pesquisadores observaram um grande desenvolvimento nos métodos de infecção do BazarLoader. Além de uma abordagem de call center falso, o malware foi identificado sendo entregue por meio de ferramentas de colaboração populares como Slack e BaseCamp. Em todos os casos, o BazarLoader aproveita a infraestrutura de comando e controle do Trickbot para operação. Portanto, profissionais de segurança suspeitam que os mantenedores do Trickbot possam estar por trás da atividade maliciosa mencionada.
Detecção da Campanha BazarCall
Para detectar o malware BazarLoader entregue no curso da campanha BazarCall, você pode baixar uma regra Sigma da comunidade desenvolvida por nosso desenvolvedor de Threat Bounty Osman Demir.
https://tdm.socprime.com/tdm/info/YsgLz3RxzMT5/#sigma
A regra possui traduções para os seguintes idiomas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Securonix
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
Táticas: Execução, Evasão de Defesa
Técnicas: Interpretador de Comando e Scripts (T1059), Execução de Binário Assinado por Proxy (T1218)
Para verificar a lista completa de conteúdo do Threat Detection Marketplace associado ao malware BazarLoader, você pode seguir este link.
Assine o Threat Detection Marketplace gratuitamente e acesse a plataforma líder do setor Content-as-a-Service (CaaS) que impulsiona o fluxo de trabalho completo de CI/CD para detecção de ameaças. Nossa biblioteca agrega mais de 100 mil itens de conteúdo SOC qualificados, entre fornecedores e ferramentas, mapeados diretamente para quadros CVE e MITRE ATT&CK®. Animado para criar suas próprias regras Sigma? Participe do nosso programa Threat Bounty e seja recompensado por sua contribuição!
