Neuer BazarBackdoor-Angriff aufgedeckt

  • Ein Sicherheitsunternehmen hat eine neue Cyber-Attacke gemeldet, an der eine Malware-Familie beteiligt ist, die sowohl als BazarBackdoor als auch als BazarLoader bekannt ist.

    Forscher der SophosLabs wurden auf den Angriff aufmerksam, als er in ihren Posteingängen landete.

    “Einem Sicherheitsunternehmen eine schädliche E-Mail mit einer neuartigen Angriffstechnik zu schicken, war vielleicht nicht die beste Entscheidung der Betreiber”, sagt Andrew Brandt, Principal Researcher bei Sophos.

    Die Bedrohungsakteure, die hinter der Kampagne stehen, verwenden sozial manipulierte E-Mails, um ihre Ziele zu verleiten, ein Attachment zu öffnen und auf einen schädlichen Link zu klicken.

    Die Malware wird dann über einen ziemlich neuartigen Mechanismus an das Opfer geliefert: den Missbrauch des Appxbundle-Formats, das vom Windows 10-App-Installationsprogramm verwendet wird.

    In der E-Mail geben sich die Angreifer als Unternehmensleiter aus und sprechen das Opfer mit seinem Namen an. In einem abrupten und bedrohlichen Stil teilen die Angreifer dem Opfer mit, dass eine Beschwerde gegen sie eingereicht wurde, und verlangen zu wissen, warum diese Informationen nicht an den Manager gesendet wurden.

    “Die Nachrichten selbst waren sehr kurz, aber sie wurden mit einem Verständnis für die menschliche Psychologie hinter dem Adrenalinstoß der Angst verfasst und waren sowohl in der Betreffzeile als auch im Text mit dem Namen des Empfängers und der anvisierten Organisation personalisiert”, sagte Brandt.

    Der Empfänger wird aufgefordert, sich zu einer Website durchzuklicken, auf der die Beschwerde scheinbar zur Überprüfung veröffentlicht wurde. Dieser Link, wenn er angeklickt wird, führt den Benutzer schließlich zu der Malware.

    Die bei diesem Angriff verwendete Malware stiehlt Profildaten, wie z. B. die Menge an RAM und CPU-Leistung, die jedes infizierte Gerät hat.

    Paul Ducklin, Principal Research Scientist bei Sophos, sagt: “Die Kriminellen lieben es, diese Details zu kennen, denn sie helfen ihnen zu entscheiden, welche Computer in ihrem Botnet am besten für welche Art von zukünftigen schädlichen Aktivitäten geeignet sind.”

    Die bei dem Angriff verwendete Malware enthält eine Funktion zum Herunterladen und Installieren weiterer Malware.

    “Die Gefahr bei Angriffen wie diesem besteht darin, dass eine Infektion zwar wie das Ende einer Angriffskette aussieht und sich auch so anfühlt, aber in Wirklichkeit nur der Anfang der nächsten ist. Und man kann nicht im Voraus sagen, welche Malware als nächstes kommt”, so Ducklin.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com