بدافزار BazarBackdoor به‌جای استفاده از پیام‌های ایمیل فریب‌دهنده (Phishing) همیشگی، اکنون از فرم‌های تماس در سایت‌های سازمانی به‌عنوان ابزاری برای انتشار استفاده می‌کند تا از شناسایی شدن توسط محصولات امنیتی نیز در امان بماند.

به‌گزارش مرکز مدیریت راهبردی افتا، بدافزارBazarBackdoor از نوع بدافزارهای “مخفی شونده” (stealth) است که دسترسی غیرمجاز (backdoor) به سیستم قربانی را فراهم می‌کند. این بدافزار درگذشته توسط گروه TrickBot ایجاد و در کارزارهای موسوم به “فریب سایبری” یا “فیشینگ” (Phishing) استفاده شده است . اکنون بدافزار BazarBackdoor توسط گردانندگان باج‌افزار Conti درحال‌توسعه است. 
این بدافزار امکان دسترسی راه دور به یک دستگاه در شبکه قربانی را برای گردانندگان بدافزار فراهم می‌کند تا به‌عنوان یک سکوی پرتاب، آلودگی را به دستگاه‌های مجاور (Lateral Movement) در شبکه گسترش دهند. 
بدافزار BazarBackdoor معمولاً از طریق پیام‌های ایمیل فیشینگ انتشار می‌یابد که حاوی پیوست مخرب هستند.
 کاربر فریب‌خورده با اجرای فایل مخرب پیوست، باعث دریافت و اجرای بدافزار می‌شود. اما ازآنجایی‌که امروزه محصولات امنیتی بهبود چشمگیری یافته‌اند و ایمیل‌ها را برای شناسایی این بدافزارها بررسی می‌کنند، منتشرکنندگان بدافزار به سراغ روش‌های جدیدی رفته‌اند.
در کارزار جدیدی که از آذرماه امسال شروع شده است، کاربران سازمانی مورد هدف بدافزار BazarBackdoor قرار گرفته‌اند و بدافزار سعی در اجرای ابزار Cobalt Strike و یا فایل‌های مخرب خود دارد،Cobalt Strike  یک ابزار تست نفوذ است که مورد سوءاستفاده مهاجمان و نفوذگران سایبری برای توزیع کدهای بدافزاری خود در سطح شبکه نیز قرار می‌گیرد. 
در این کارزار، به‌جای ارسال مستقیم ایمیل‌های فیشینگ به اهداف موردنظر، BazarBackdoor از فرم‌های تماس سایت‌های سازمانی برای ایجاد ارتباط اولیه با کاربران سازمانی استفاده می‌کند. 
به‌عنوان نمونه در یک مورد مشاهده گردید که مهاجمان در قالب کارمندان یک شرکت ساختمانی کانادایی ظاهر شدند و درخواستی را برای استعلام قیمت محصول ارسال کردند. پس از اینکه کارمند مربوطه به ایمیل فیشینگ مهاجمان پاسخ داد، مهاجمان در پاسخ یک فایل ISO مخرب را که ظاهراً مربوط به مذاکرات خرید بود، ارسال کردند. ازآنجایی‌که ارسال مستقیم این فایل‌ها غیرممکن است و منجر به هشدار محصولات امنیتی می‌شود، همان‌طور که در تصویر زیر نشان‌داده‌شده مهاجمان از خدمات اشتراک‌گذاری فایل نظیر TransferNow و WeTransfer استفاده کرده بودند.

فایل پیوست و فشرده شده ISO حاوی یک فایل .lnk و یک فایل .log است. هدف از بسته‌بندی کدهای مخرب در فایل فشرده، ترغیب کاربر به استخراج دستی آنها پس از دانلود، دورزدن محصولات ضدویروس و شناسایی نشدن فایل‌های مخرب است. فایل .lnk حاوی فرمانی است که یک پنجره Terminal باز می‌کند و فایل .log را که در واقع فایل DLL بدافزار BazarBackdoor  است را بارگذاری می‌کند.

هنگامی که بخش Backdoor بدافزار بارگیری می‌شود، به فرایند svchost.exe تزریق شده و با سرور کنترل و فرماندهی (Command and Control – به‌اختصار C2) ارتباط برقرار می‌کند تا فرمان‌ها را برای اجرا دریافت کند.
به دلیل آفلاین بودن بسیاری از نشانی‌های IP مربوط به سرورهای کنترل و فرماندهی در زمان تحلیل حمله توسط محققان، آنها نتوانستند کد بدافزاری و مخرب مرحله دوم را بازیابی کنند، بنابراین هدف نهایی این کارزار همچنان ناشناخته باقی‌مانده است.

منبع:

https://www.bleepingcomputer.com/news/security/corporate-website-contact-forms-used-to-spread-bazarbackdoor-malware/

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2057/Staging/%D9%81%D8%B1%D9%85-%D8%AA%D9%85%D8%A7%D8%B3-%D8%AF%D8%B1-%D8%B3%D8%A7%DB%8C%D8%AA%E2%80%8C%D9%87%D8%A7%D8%8C-%D9%88%D8%B3%DB%8C%D9%84%D9%87-%D8%A7%D9%86%D8%AA%D8%B4%D8%A7%D8%B1-BazarBackdoor

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)