尽管钓鱼邮件仍然是传统的攻击途径,但攻击者也一直并未放弃寻找新攻击方式。最近,研究人员发现 BazarLoader 通过在线表格发起攻击。
林芝网站建设公司创新互联公司,林芝网站设计制作,有大型网站制作公司丰富经验。已为林芝上千多家提供企业网站建设服务。企业网站搭建\外贸营销网站建设要多少钱,请找那个售后服务好的林芝做网站的公司定做!
BazarLoader 被认为与网络犯罪组织 Wizard Spider 关系极为密切,该组织开发了 Trickbot 银行木马和 Conti 勒索软件而广为人知。
在 2021 年时,BazarLoader 曾假借盗版内容进行传播。攻击者威胁要对持续侵犯版权的行为采取法律行动,恶意软件被描述为不当行为的证据。
在 2021 年 12 月至 2022 年 1 月间,研究人员发现攻击者并不是直接发送钓鱼邮件发起攻击,而是通过在线表格实现攻击。
攻击者伪装成加拿大豪华建筑公司的员工,寻求产品的报价。攻击者选用该方法有两个目的:
攻击者只需要等着目标公司的受害者主动送上门即可。
通过电子邮件确认身份后,攻击者将以项目谈判的名义引诱受害者下载恶意文件。
电子邮件
攻击者通常是使用文件共享服务 TransferNow 和 WeTransfer 进行样本投递。
样本下载
攻击者共享的是 .iso 文件,其中包含两个伪装成不同文件类型的文件。看上去其中一个是指向所在文件夹的快捷方式,另一个是带有合法 Windows 文件名的 .log 文件。实际上,一个是 Windows 的 LNK 文件,另一个是 DumpStack.log 文件。
通过 TransferNow 发送的恶意软件
快捷方式允许创建者指定命令行参数在受害者设备上执行操作,攻击者常常利用该类型的文件进行攻击。
ISO 文件
LNK 文件会使用 regsvr-32.exe打开终端运行 DumStack.log,后者为 BazarLoader 的 DLL 文件。
LNK 文件
DLL 通过进程注入 svchost.exe来逃避检测,并且使用 443 端口与 C&C 服务器 13.107.21.200 进行通信。
进程
建立连接
建立连接
调查时部分 C&C 服务器已经关闭,无法下载后续载荷。根据数据关联,可以发现相关的恶意软件链接。
关联图
与 IP 地址相关的恶意软件如下所示:
恶意样本
攻击者会冒充知名企业创建相似域名来获取受害者的信任,例如将 .com 顶级域名更改为 .us。
BazarLoader 通常作为多阶段恶意软件中的一环,后续可以部署 Conti 勒索软件或者 Cobalt Strike 恶意样本。
分享题目:警惕,研究者发现在线表格可能暗含恶意软件BazarLoader
文章路径:http://www.shufengxianlan.com/qtweb/news21/78971.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联