BazarBackdoor

Por GoldSparrow em Backdoors

Traduzir Para:

O Trojan BazarBackdoor é um utilitário que provavelmente é criado pelos mesmos criminosos virtuais que estão por trás do famoso Trojan bancário TrickBot. No entanto, existem diferenças significativas entre as duas ferramentas de hackers. O Trojan bancário TrickBot é uma ferramenta projetada para coletar informações financeiras de seus destinos, como credenciais de login em portais bancários. A ferramenta BazarBackdoor não serve a esse propósito. O objetivo do utilitário BazarBackdoor é permitir que seus operadores plantem malware adicional nos sistemas infectados. Isso significa que os operadores da ferramenta BazarBackdoor poderão implantar várias outras ameaças que os ajudarão a coletar informações, alterar as configurações do host, realizar operações de reconhecimento etc. Isso torna a ameaça do BazarBackdoor uma parte altamente prejudicial do malware.

This Week In Malware Episode 20 Part 2: Bazar Malware Linked to Trickbot Banking Trojan Campaigns to Steal Personal Data

Segundo os pesquisadores, o malware BazarBackdoor está sendo propagado com a ajuda de emails de spam. Os cibercriminosos por trás da ameaça BazarBackdoor provavelmente adaptarão os e-mails de maneira diferente em cada campanha. Alguns dos emails corrompidos podem alegar conter informações urgentes sobre o Coronavírus, enquanto outros podem incluir detalhes importantes, como ofertas de emprego, anúncios do governo etc. Em vez de usar arquivos anexos corrompidos, os atacantes optaram por vincular os usuários a um falso Página do Google Docs, que parece hospedar um documento que não pode ser visualizado pela vítima. A página fraudulenta do Google Docs oferece um link de download que permite que os usuários se apossem do documento e o visualizem. No entanto, se tentarem baixar o arquivo oferecido pela página desonesta, obterão uma cópia do malware BazarBackdoor em vez de obter um documento legítimo.

Para ocultar a verdadeira natureza do arquivo corrompido, os atacantes optaram por utilizar um truque básico muito antigo - a extensão dupla. O Windows oculta as extensões por padrão, o que permite que esse truque funcione. Por exemplo, um arquivo chamado 'CV.pdf.exe' apareceria como 'CV.pdf' e pode induzir os usuários a acreditar que isso não passa de um documento inofensivo.

Ao infectar o sistema visado, o malware BazarBackdoor injeta seu código corrompido em um processo falso chamado 'svchost.exe', que parece vago e provavelmente não atrairá a atenção da vítima. Em seguida, a ameaça BazarBackdoor se conectará ao servidor de C&C (Comando & Controle) dos operadores. Até agora, os autores do malware BazarBackdoor parecem estar usando essa ferramenta de hackers para fornecer uma versão quebrada da ferramenta Cobalt Strike. O utilitário Cobalt Strike é uma plataforma de teste genuína usada por analistas de segurança cibernética, que também é utilizada por criminosos cibernéticos em suas operações prejudiciais.

O malware BazarBackdoor não é uma ameaça que deve ser subestimada. Os usuários devem ter muito cuidado com o conteúdo e os emails com tema do Coronavírus, pois muitos cibercriminosos, como os atores por trás da ameaça BazarBackdoor, estão usando-o para espalhar malware e várias táticas online.

Buscar

Mudar de região

BazarBackdoor

Enviar o Comentário

Tendendo

'YouPorn' Email Scam

Safe Search Eng

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela