แบบฟอร์มติดต่อบนเว็บไซต์ขององค์กร ถูกใช้ในการแพร่กระจายมัลแวร์ BazarBackdoor

มัลแวร์ BazarBackdoor กำลังแพร่กระจายผ่านแบบฟอร์มการติดต่อของเว็บไซต์ขององค์กร แทนที่จะเป็นการใช้อีเมลฟิชชิ่งทั่วไป เพื่อหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์ และอุปกรณ์ security

BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot และอยู่ระหว่างการพัฒนาโดยกลุ่ม Conti ransomware มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ยึดครองได้จากระยะไกล โดยมัลแวร์ BazarBackdoor มักจะแพร่กระจายผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย เพื่อหลอกให้ดาวน์โหลด และติดตั้งมัลแวร์

แบบฟอร์มการติดต่อถูกใช้แทนอีเมล

ในรายงานฉบับใหม่จาก Abnormal Security นักวิเคราะห์อธิบายว่าแคมเปญใหม่เริ่มต้นในเดือนธันวาคม 2564 โดยกำหนดเป้าหมายไปยังเหยื่อที่เป็นองค์กรด้วย BazarBackdoor โดยใช้ Cobalt Strike หรือ ransomware payloads

แทนที่จะส่งอีเมลฟิชชิ่งไปยังเป้าหมาย ผู้โจมตีจะใช้แบบฟอร์มการติดต่อขององค์กรก่อนเพื่อเริ่มการติดต่อ ตัวอย่างเช่น ในกรณีหนึ่ง นักวิเคราะห์ของ Abnormal พบผู้โจมตีปลอมตัวเป็นพนักงานในบริษัทก่อสร้างของแคนาดาเพื่อขอใบเสนอราคาจัดหาผลิตภัณฑ์ หลังจากที่พนักงานตอบกลับอีเมลข้างต้นแล้ว ผู้โจมตีจะทำการส่งไฟล์ ISO ที่เป็นอันตรายกลับไป

เนื่องจากการส่งไฟล์เหล่านี้โดยตรงจะถูกตรวจจับได้จากอุปกรณ์ security ซึ่งจะทําให้เกิดการแจ้งเตือนด้านความปลอดภัย ผู้โจมตีจึงใช้บริการแชร์ไฟล์เช่น TransferNow และ WeTransfer แทน ตามข้อมูลที่แสดงด้านล่าง

Hiding BazarLoader

ใน ISO ไฟล์ ประกอบไปด้วย .lnk file และ .log file ซึ่งเป็นความพยายามในการหลบเลี่ยงการตรวจจับของ Antivirus โดยการ packing ที่ payloads ไว้ในไฟล์ ISO และให้ผู้ใช้ดึงข้อมูลออกมาด้วยตนเอง

โดย .lnk file มีคำสั่งที่ใช้สำหรับการเปิด terminal window โดยใช้ Windows binaries บนเครื่อง และโหลด .log file ซึ่งที่จริงแล้วเป็น BazarBackdoor DLL

เมื่อ backdoor ถูกโหลดแล้วจะถูกซ่อนตัวอยู่ใน process svchost.

พบไฟล์ CSV ที่เป็นอันตราย ถูกใช้ในการติดตั้งมัลแวร์ BazarBackdoor

แคมเปญฟิชชิ่งใหม่ที่มีการใช้ไฟล์ CSV ที่ถูกสร้างขึ้นเพื่อทำให้อุปกรณ์ของผู้ใช้ติดมัลแวร์ BazarBackdoor

ไฟล์ที่คั่นด้วยเครื่องหมายจุลภาค (CSV) เป็นไฟล์ที่มีคอลัมน์ของข้อมูลที่จะถูกคั่นด้วยเครื่องหมายจุลภาค ซึ่งในหลายกรณี ข้อความบรรทัดแรกคือส่วนหัวหรือคำอธิบายสำหรับข้อมูลในแต่ละคอลัมน์

การใช้ CSV เป็นวิธีที่นิยมในการส่งออกข้อมูลจากแอปพลิเคชัน ที่สามารถนำเข้าสู่โปรแกรมอื่นได้ ไม่ว่าจะเป็น Excel,โปรแกรมจัดการรหัสผ่านไปจนถึงซอฟต์แวร์ที่ใช้เรียกเก็บเงิน

เนื่องจาก CSV เป็นเพียงข้อความที่ไม่มีโค้ดคำสั่ง หลายคนจึงมองว่าไฟล์ประเภทนี้ไม่เป็นอันตราย และเปิดใช้งานได้อย่างไม่ต้องกังวล

อย่างไรก็ตาม Microsoft Excel ที่มีการรองรับฟีเจอร์ที่เรียกว่า Dynamic Data Exchange (DDE) สามารถใช้เพื่อรันคำสั่งที่มีเอาต์พุตป้อนลงในโปรแกรม spreadsheet ที่เปิดอยู่ รวมไปถึงไฟล์ CSV ที่ผู้ไม่หวังดีสามารถใช้ฟีเจอรืนี้เพื่อรันคำสั่งที่ดาวน์โหลด และติดตั้งมัลแวร์ได้โดยที่เหยื่อไม่สงสัย

ไฟล์ CSV ที่ใช้ DDE เพื่อติดตั้ง BazarBackdoor

แคมเปญฟิชชิ่งใหม่ที่ค้นพบโดยนักวิจัยด้านความปลอดภัย Chris Campbell กำลังถูกใช้เพื่อติดตั้งโทรจัน BazarLoader/BazarBackdoor บนไฟล์ CSV ที่เป็นอันตราย โดย BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot เพื่อให้ผู้บุกรุกเข้าถึงอุปกรณ์ภายในจากระยะไกล และยังสามารถใช้เป็นช่องทางในการเข้าถึงข้อมูลภายในเครือข่ายได้

อีเมลฟิชชิงปลอมเป็นลักษณะ "คำแนะนำการโอนเงิน" พร้อมทั้งลิงค์ไปดาวน์โหลดไฟล์ CSV ที่มีชื่อคล้ายกับ "document-21966.csv"

เช่นเดียวกับไฟล์ CSV ปกติ ไฟล์ document-21966.csv เป็นเพียงไฟล์ข้อความ โดยมีคอลัมน์ของข้อมูลคั่นด้วยเครื่องหมายจุลภาค ตามรูปภาพด้านล่าง

ผู้เชี่ยวชาญสังเกตเห็นว่าคอลัมน์ข้อมูลมีการเรียกใช้ WMIC แปลก ๆ ในคอลัมน์หนึ่งของข้อมูล ที่เรียกใช้คำสั่ง PowerShell นั่นก็คือ WmiC| เป็นคำสั่งฟังก์ชัน DDE ที่ทำให้ Microsoft Excel เปิดใช้ WMIC.exe และรันคำสั่ง PowerShell ที่ให้มา

ในกรณีนี้ DDE จะใช้ WMIC เพื่อสร้าง Process PowerShell ใหม่ที่มีการ Remote URL จากระยะไกลที่มีคำสั่ง PowerShell อื่นๆที่ดำเนินการไว้แล้ว

การเรียกใช้คำสั่ง PowerShell จากระยะไกลที่แสดงด้านล่างนี้ จะดาวน์โหลดไฟล์ picture.