El malware Bazar puede ser una nueva herramienta en el arsenal de Trickbot

Una nueva cepa de malware El cargador y puerta trasera denominado Bazar, que puede usarse para desplegar malware adicional y ransomware y filtrar datos, apunta a compañías de servicios de salud, TI, fabricación, logística y servicios profesionales en los EE. UU. y Europa, según el Cybereason Equipo de investigación de amenazas Nocturnus.

Bazar surgió por primera vez en abril de 2020 y está siendo rastreado por Assaf Dahan, Daniel Frank y Mary Zhao de Cybereason. Distribuido a través de correos electrónicos de phishing que explotan temas como la pandemia de coronavirus Covid-19, parece tener fuertes lazos con campañas anteriores de Trickbot, entregándose a través de una cadena de infección similar: también reutiliza dominios asociados, usa certificados revocados para firmar malware y tiene rutinas de descifrado casi idénticas.

Después de establecer una cabeza de puente inicial en el entorno de destino utilizando el cargador, la puerta trasera establece persistencia, permitiendo que los ciberdelincuentes detrás de ella implementen otras cargas útiles como ransomware, marcos de trabajo posteriores a la explotación como CobaltStrike, así como robar datos y ejecutar comandos remotos.

El equipo de Nocturnus dijo que había encontrado varias versiones diferentes de Bazar en circulación, sugiriendo que está siendo desarrollado y actualizado activamente por sus creadores, que seguramente tienen su base en Rusia, evidenciado por el hecho de que trata de evitar atacar a los usuarios en esa geografía. comprobando si el idioma ruso está instalado en su máquina de destino.

«Según nuestra investigación, Cybereason estima que la nueva familia de malware es la última herramienta sofisticada en el arsenal de la pandilla Trickbot, que hasta ahora se ha observado selectivamente en un puñado de objetivos de alto valor», escribió Dahan en una publicación de blog de divulgación.

“El malware Bazar se centra en la evasión, el sigilo y la persistencia. Los autores de malware están probando activamente algunas versiones de su malware, tratando de ofuscar el código tanto como sea posible y ocultando la carga útil final mientras lo ejecutan en el contexto de otro proceso. Para evadir aún más la detección, el cargador y la puerta trasera Bazar utilizan un esquema de devolución de llamada de red diferente del malware relacionado con Trickbot visto anteriormente.

“Después de la infección, el malware les brinda a los actores de amenazas una variedad de opciones de ejecución de comandos y códigos, junto con capacidades integradas de carga de archivos y auto borrado. Esta variedad permite que los atacantes sean dinámicos mientras filtran datos, instalan otra carga útil en la máquina objetivo o se extienden más allá en la red. En general, tener más opciones garantiza que los actores de la amenaza puedan adaptarse a los cambios en sus objetivos o en el entorno de la víctima ”, dijo.

El equipo de Nocturnus también observó que, a pesar de haber liberado a Bazar por primera vez en abril, desapareció rápidamente durante un paréntesis que duró casi dos meses hasta que se detectó una nueva variante en junio. Dahan dijo que esto demuestra claramente que los autores del malware se han tomado el tiempo de volver a examinar y mejorar su código para hacer que Bazar sea más difícil de detectar y tratar.

Entre otras cosas, cambiaron algunas de las versiones originales características más detectables, como cadenas que fueron codificadas previamente, y modificando la rutina de descifrado de código de shell conocida.

Cybereason dijo que si bien Bazar está claramente todavía en la etapa de desarrollo, su evolución sugirió el surgimiento de una nueva amenaza «formidable» en un futuro no muy lejano.

Más información sobre Bazar, incluidas capturas de pantalla, detalles técnicos detallados e indicadores de compromiso (IoC) se puede encontrar en el blog de divulgación de Cybereason.