Alerta: Malware BazarLoader se propaga a través de los formularios de contacto en sitios web

¿Qué es BazarLoader y qué tan peligroso es?

BazarLoader es un malware sigiloso y avanzado que se utiliza como infectador de primera etapa. Una vez que una computadora se infecta con él, descarga otros malware y los ejecuta. BazarLoader está diseñado para ser muy sigiloso y resistente, y se ha utilizado en el pasado en campañas que involucran varios tipos de malware, como TrickBot, Ryuk ransomware y Conti ransomware, entre otros. Se cree que ha sido desarrollado por la banda Trickbot.

BazarLoader utiliza el sistema EmerDNS, que consiste en una cadena de bloques en la que los registros de nombres de dominio están completamente descentralizados e inmunes a la censura, como lo establece claramente Emercoin (Figura A).

Esto hace que el malware sea muy resistente, ya que nadie excepto la persona que posee la clave privada de la cadena de bloques del dominio puede detenerlo.

Además de ser técnicamente muy avanzado, los controladores de BazarLoader han utilizado formas innovadoras para propagarlo e infectar a los usuarios con el tiempo. Por ejemplo, utilizaron correos electrónicos que no contenían enlaces ni archivos adjuntos, fingiendo ser una empresa cuyo servicio de prueba gratuita expiraría pronto y que se cargaría la tarjeta de crédito del destinatario en uno o dos días para pagar la suscripción. Para cancelar ese pago, el usuario debía llamar a un número operado por los estafadores. Ellos proporcionarían luego un enlace para infectar al usuario. Esta técnica es particularmente efectiva para evitar cualquier detección de amenazas, ya que no se envió ningún enlace o archivo por correo electrónico. También han utilizado instaladores de software comprometidos de VLC y Teamviewer para infectar a sus objetivos.

El nuevo canal de propagación de BazarLoader: formularios de contacto de sitios web

Recientemente, Abnormal Security descubrió una nueva forma innovadora en la que los controladores de BazarLoader propagan su malware e infectan a los usuarios.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

En este nuevo esquema de infección, los ciberdelincuentes establecen un primer contacto a través de los formularios de contacto de los sitios web de las organizaciones. El ejemplo proporcionado por Abnormal Security, una empresa de ciberseguridad, expone a un atacante que finge ser una empresa de construcción de lujo canadiense en busca de un presupuesto para un producto proporcionado por el objetivo.

Una vez que el objetivo responde por correo electrónico, el atacante establece su identidad de cobertura antes de utilizar métodos de ingeniería social para hacer que la víctima descargue un archivo malicioso, que infectará la computadora con una variante de malware de BazarLoader.

En el ejemplo informado por Abnormal Security, una primera respuesta por correo electrónico del atacante menciona que llegará información adicional en un correo separado (Figura B).

En menos de un minuto, el segundo correo electrónico del atacante llega al buzón de la víctima, proveniente de servicios en línea como TransferNow o WeTransfer (Figura C).

El archivo descargado no es el típico archivo .exe o un archivo infectado XLSX o DOCX que uno podría esperar.

Cómo proteger tu computadora de los virus: métodos y consejos

El archivo es un archivo .ISO con dos componentes. El primero pretende ser una carpeta, pero en realidad es un acceso directo .LNK, mientras que el segundo es un archivo DLL que pretende ser un archivo .LOG (Figura D).

Una vez que se hace clic en el acceso directo, se ejecuta una instrucción de línea de comandos para iniciar el segundo archivo a través de regsvr32.exe. Ese segundo archivo es un archivo DLL de BazarLoader.

No se encontró la etapa final, en la que BazarLoader descarga otro malware y lo ejecuta, por parte de Abnormal Security. Sin embargo, se intentó conectar a una dirección IP que anteriormente había sido identificada como propagadora de ransomware, troyanos o mineros de bitcoin.

Cómo protegerse de este tipo de ataque

El ataque expuesto en este artículo se basa en ingeniería social, como ocurre a menudo. El atacante establece un primer contacto a través de un formulario de contacto, luego espera a que el objetivo lo contacte por correo electrónico y lleva al objetivo a abrir un archivo proveniente de un servicio de entrega de archivos en línea legítimo. De esta manera, los objetivos pueden caer en la falsa sensación de abrir un archivo seguro, lo que conduce a la infección.

Todo archivo que provenga de una fuente desconocida debe ser tratado con cuidado y no ejecutado de inmediato. Varios pasos son útiles para determinar si el archivo es seguro o no:

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

• Hacer que el archivo sea analizado por un producto de seguridad que haga más que simplemente detectar malware basado en firmas.
• Si es posible, hacer que el archivo sea analizado en un entorno controlado, para tener análisis de comportamiento además del análisis estático. Ese análisis debe ser realizado por el departamento de TI o por analistas con conocimientos profundos sobre malware.
• Si aún hay dudas, abrir el archivo en una máquina virtual con un sistema de instantáneas, para que una vez que se ejecute el archivo y se realice el análisis, la máquina virtual se pueda restaurar a su estado anterior al lanzamiento.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Alerta: Malware BazarLoader se propaga a través de los formularios de contacto en sitios web , tenemos lo ultimo en tecnología 2023.