「企業向け」BazarBackdoorマルウェアはスピアフィッシングメールを介して配信される

研究者たちは、悪名高いモジュール式銀行業務用トロイの木馬TrickBotとコードを共有し、企業ネットワークへの不正アクセスを獲得して危険にさらすために使用されると言う、新しい「企業向け」のバックドアマルウェアプログラムを発見しました。

BazarBackdoorと呼ばれるこのマルウェアは、顧客からの苦情、コロナウイルス関連の給与報告書、従業員の解雇リストなど、さまざまな誘い文句を利用したスピアフィッシングキャンペーンを介して配布されていると、Panda Securityは今週公開された会社のブログ記事で報告しています。

Sendgridマーケティングプラットフォームを介して送信されたメールには、Google DocsにホストされているWord、Excel、PDFドキュメントへのリンクが含まれています。
受信者は、その文書を正しく表示できないと思い込み、代わりにコピーをダウンロードするように促されます。
その結果、感染してしまいます。

"被害者がリンクをクリックすると、ウェブサイトに表示される文書の種類に関連付けられたアイコンと名前を使用した実行ファイルがダウンロードされます」とブログ記事は説明しています。
"例えば、『COVID-19 ACH Payroll Report』は、PreviewReport.DOC.exeという文書をダウンロードします。
Windowsはデフォルトでファイル拡張子を表示しないので、ほとんどのユーザーは単にPreviewReport.DOCを見て、それが正当な文書であると信じてファイルを開くでしょう。"

実行ファイルは、メインペイロードをダウンロードするために、C2サーバーに密かに接続するローダーです。

コードが重複しているため、Panda SecurityはTrickBotの運営者もBazarBackdoorの背後にいると考えています。

先週、パロアルトネットワークスの研究者は、TrickBotの運営者が、感染したWindowsクライアントから脆弱なドメインコントローラ(DC)に伝播するために使用される "mworm "モジュールを、"nworm "と呼ばれる新バージョンにアップグレードしたことも報告しました。

前バージョンとは異なり、nwormは感染したドメインコントローラに成果物を残さず、システムRAMから実行され、再起動やシャットダウン後は永続性を維持することなく消滅します。
「さらに、nwormが使用するTrickBotバイナリは、インターネット経由で取得する際に暗号化されているか、そうでなければエンコードされています」と、パロアルトネットワークスのUnit 42チームの脅威インテリジェンスアナリストであるブログ記事の著者であるBrad Duncan氏は書いています。

このような改善は、検出を回避することを目的としている可能性が高いと、報告書は結論づけています。

元記事
https://www.scmagazine.com/home/security-news/malware/enterprise-grade-bazarbackdoor-malware-delivered-via-spear-phishing-emails/

—-
確かにブラウザでクラウド上のファイルが開けなければ、ファイルをダウンロードするよなぁ。
思い込みを利用したトリックとマルウェアの検出回避の組み合わせ。
マルウェア感染に気が付けなければ横移動されて組織全体・顧客情報も含めて多くの情報が抜かれてしまうのは怖い。