Операторы BazarLoader используют в атаках Slack и облака BaseCamp

Исследователи в области кибербезопасности из компании Sophos сообщили о новых кибератаках, в рамках которых операторы вредоносного ПО BazarLoader используют корпоративный мессенджер Slack, инструмент BaseCamp и голосовые вызовы для обмана пользователей.

По словам исследователей, в ходе первой вредоносной кампании злоумышленники атаковали сотрудников крупных организаций. Преступники рассылали электронные письма, якобы содержащие важную информацию о контрактах, обслуживании клиентов, счетах-фактурах или начислении заработной платы.

«Один образец спама был замаскирован под уведомление об увольнении сотрудника с работы», — отметили эксперты.

Ссылки в электронных письмах размещались в облачном хранилище Slack или BaseCamp и выглядят для потенциальной жертвы легитимными, если пользователь работает в организации, которая использует одну из этих платформ.

После нажатия на ссылку на устройство жертвы загружается BazarLoader. Ссылки обычно указывают непосредственно на исполняемый файл с цифровой подписью с изображением значка Adobe PDF. Вредоносные файлы обычно называются presentation-document.exe, preview-document-[номер].exe или Annualreport.exe. Исполняемые файлы при запуске внедряют полезную DLL-нагрузку в легитимные процессы Windows.

«Вредоносное ПО работает только в памяти и не может быть обнаружено при сканировании файловой системы инструментом защиты конечных точек. Сами файлы не используют легитимное расширение .DLL», — пояснили эксперты.

В рамках второй кампании под названием BazarCall отсутствовали подозрительные файлы или ссылки в спам-сообщениях. В письмах мошенники уведомляли получателя об истечении срока бесплатной пробной версии используемой online-службы и предлагали позвонить по номеру телефона для отказа от дорогостоящей платной подписки. Если жертва решала позвонить, мошенник предоставлял адрес web-сайта, где можно было предположительно отказаться от подписки на услугу.

Письма исходили якобы от компании Medical Reminder Service и содержали номер телефона и адрес реального офисного здания, расположенного в Лос-Анджелесе. В середине апреля в сообщениях использовалась приманка, связанная с поддельной платной online-библиотекой BookPoint. В рамках данной кампании преступники распространяли зараженные документы Microsoft Office, вызывающие команды для выполнения одной или нескольких вредоносных DLL-библиотек.