盡管釣魚郵件仍然是傳統(tǒng)的攻擊途徑，但攻擊者也一直并未放棄尋找新攻擊方式。最近，研究人員發(fā)現(xiàn) BazarLoader 通過在線表格發(fā)起攻擊。

BazarLoader 被認(rèn)為與網(wǎng)絡(luò)犯罪組織 Wizard Spider 關(guān)系極為密切，該組織開發(fā)了 Trickbot 銀行木馬和 Conti 勒索軟件而廣為人知。

在 2021 年時，BazarLoader 曾假借盜版內(nèi)容進(jìn)行傳播。攻擊者威脅要對持續(xù)侵犯版權(quán)的行為采取法律行動，惡意軟件被描述為不當(dāng)行為的證據(jù)。

在線表格

在 2021 年 12 月至 2022 年 1 月間，研究人員發(fā)現(xiàn)攻擊者并不是直接發(fā)送釣魚郵件發(fā)起攻擊，而是通過在線表格實(shí)現(xiàn)攻擊。

攻擊者偽裝成加拿大豪華建筑公司的員工，尋求產(chǎn)品的報價。攻擊者選用該方法有兩個目的：

• 將流量偽裝成合法流量
• 通過合法發(fā)件人發(fā)送，逃避了惡意郵件檢測

攻擊者只需要等著目標(biāo)公司的受害者主動送上門即可。

發(fā)送惡意樣本

通過電子郵件確認(rèn)身份后，攻擊者將以項(xiàng)目談判的名義引誘受害者下載惡意文件。

電子郵件

攻擊者通常是使用文件共享服務(wù) TransferNow 和 WeTransfer 進(jìn)行樣本投遞。

樣本下載

BazarLoader 惡意軟件

攻擊者共享的是 .iso 文件，其中包含兩個偽裝成不同文件類型的文件。看上去其中一個是指向所在文件夾的快捷方式，另一個是帶有合法 Windows 文件名的 .log 文件。實(shí)際上，一個是 Windows 的 LNK 文件，另一個是 DumpStack.log 文件。

通過 TransferNow 發(fā)送的惡意軟件

快捷方式允許創(chuàng)建者指定命令行參數(shù)在受害者設(shè)備上執(zhí)行操作，攻擊者常常利用該類型的文件進(jìn)行攻擊。

ISO 文件

LNK 文件會使用 regsvr-32.exe打開終端運(yùn)行 DumStack.log，后者為 BazarLoader 的 DLL 文件。

LNK 文件

DLL 通過進(jìn)程注入 svchost.exe來逃避檢測，并且使用 443 端口與 C&C 服務(wù)器 13.107.21.200 進(jìn)行通信。

進(jìn)程

建立連接

建立連接

調(diào)查時部分 C&C 服務(wù)器已經(jīng)關(guān)閉，無法下載后續(xù)載荷。根據(jù)數(shù)據(jù)關(guān)聯(lián)，可以發(fā)現(xiàn)相關(guān)的惡意軟件鏈接。

關(guān)聯(lián)圖

與 IP 地址相關(guān)的惡意軟件如下所示：

惡意樣本

總結(jié)

攻擊者會冒充知名企業(yè)創(chuàng)建相似域名來獲取受害者的信任，例如將 .com 頂級域名更改為 .us。

BazarLoader 通常作為多階段惡意軟件中的一環(huán)，后續(xù)可以部署 Conti 勒索軟件或者 Cobalt Strike 惡意樣本。