Moduli di contatto usati per diffondere BazarBackdoor

Sicurezza Malware e virus Antivirus BazarBackdoor sfrutta i moduli di contatto presenti sui siti aziendali per ottenere l'accesso ai computer e diffondersi nella rete interna.

I cybercriminali cercano sempre nuovi metodi per aumentare le probabilità di successo degli attacchi informatici, evitando le difese degli antivirus. Il malware BazarBackdoor viene solitamente diffuso tramite phishing, ma recentemente è stata utilizzata un’alternativa, ovvero i moduli di contatto presenti sui siti delle aziende. Una soluzione di sicurezza aggiornata, come quelle di Kaspersky (attualmente in offerta), può rilevare il pericolo. Proteggi i tuoi dati: scopri oggi le offerte . Nuovo trucco per distribuire BazarBackdoor BazarBackdoor (noto anche come BazarLoader) consente ai cybercriminali di ottenere l’accesso al computer e quindi alla rete aziendale. Solitamente viene distribuito mediante email di phishing con allegati che contengono il malware o si collegano ad un server remoto per il download. Ultimamente sono stati rilevati attacchi con un’origine differente, ovvero il modulo che le aziende pubblicano sul sito per essere contattati da eventuali clienti.

L’autore dell’attacco avvia la comunicazione con un dipendente che risponde alla richiesta. Il cybercriminale invia quindi un’email con link ad un file condiviso tramite un servizio di sharing, come WeTransfer o TransferNow. Il file non viene allegato all’email per evitare un eventuale blocco. Nel caso di BazarBackdoor si tratta di un’immagine ISO che contiene un file .lnk e un file .log. Il file .lnk contiene il comando che permette di eseguire il file .log. Quest’ultimo è in realtà la DLL di BazarBackdoor che viene iniettata nel processo svchost.exe per evitare la sua rilevazione. Il server remoto contattato dal malware non è attivo, in quanto si tratta solo del primo stadio dell’attacco (il secondo potrebbe scaricare sul computer un ransomware).

diffondere