Moduli di contatto usati per diffondere BazarBackdoor

Moduli di contatto usati per diffondere BazarBackdoor

BazarBackdoor sfrutta i moduli di contatto presenti sui siti aziendali per ottenere l'accesso ai computer e diffondersi nella rete interna.
Moduli di contatto usati per diffondere BazarBackdoor
BazarBackdoor sfrutta i moduli di contatto presenti sui siti aziendali per ottenere l'accesso ai computer e diffondersi nella rete interna.

I cybercriminali cercano sempre nuovi metodi per aumentare le probabilità di successo degli attacchi informatici, evitando le difese degli antivirus. Il malware BazarBackdoor viene solitamente diffuso tramite phishing, ma recentemente è stata utilizzata un’alternativa, ovvero i moduli di contatto presenti sui siti delle aziende. Una soluzione di sicurezza aggiornata, come quelle di Kaspersky (attualmente in offerta), può rilevare il pericolo.

Nuovo trucco per distribuire BazarBackdoor

BazarBackdoor (noto anche come BazarLoader) consente ai cybercriminali di ottenere l’accesso al computer e quindi alla rete aziendale. Solitamente viene distribuito mediante email di phishing con allegati che contengono il malware o si collegano ad un server remoto per il download. Ultimamente sono stati rilevati attacchi con un’origine differente, ovvero il modulo che le aziende pubblicano sul sito per essere contattati da eventuali clienti.

L’autore dell’attacco avvia la comunicazione con un dipendente che risponde alla richiesta. Il cybercriminale invia quindi un’email con link ad un file condiviso tramite un servizio di sharing, come WeTransfer o TransferNow. Il file non viene allegato all’email per evitare un eventuale blocco. Nel caso di BazarBackdoor si tratta di un’immagine ISO che contiene un file .lnk e un file .log.

Il file .lnk contiene il comando che permette di eseguire il file .log. Quest’ultimo è in realtà la DLL di BazarBackdoor che viene iniettata nel processo svchost.exe per evitare la sua rilevazione. Il server remoto contattato dal malware non è attivo, in quanto si tratta solo del primo stadio dell’attacco (il secondo potrebbe scaricare sul computer un ransomware).

Per non correre rischi è sempre meglio installare una soluzione di sicurezza che offre funzionalità avanzate, come Kaspersky Total Security. La suite può rilevare ogni tipo di minaccia in tempo reale, siti web sospetti e le email di phishing. Gli utenti troveranno inoltre un firewall bidirezionale, il blocco dei tracker, il controllo parentale, il password manager e una VPN. Grazie alla promozione in corso è possibile sottoscrivere l’abbonamento a partire da 31,99 euro (un anno e un dispositivo).

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 11 mar 2022
Link copiato negli appunti