【安全资讯】利用侵权主题传播BazarLoader恶意软件的垃圾邮件活动

安恒威胁情报中心 2021-09-09 15:17:48 633人浏览

引言

一项以“侵犯版权”为主题的活动正在传播BazarLoader恶意软件。BazaLoader是用C++编写的Loader,用于下载和执行其他模块。该软件通过多种途径传播,如利用虚假流媒体服务、伪造的呼叫中心传播。近期,攻击者正通过主题为“侵犯版权”的邮件传播BazaLoader,邮件中的恶意链接据称提供图像被侵犯版权的证据。

简况

这项活动中的邮件不同于传统的垃圾邮件,而是使用通过各种网站上的联系表单生成,以侵犯版权为主题。这些表单提交的消息包含Googlefirebase存储URL,这个恶意链接据称提供了图像被侵犯版权的证据。以侵犯版权为主题的表单提交生成的电子邮件的链接如下:

攻击者滥用了谷歌的服务,下载的 zip 档案命名为Stolen Images Evidence.zip,该zip档案包含一个名为Stolen Images Evidence.js的 JavaScript 文件,旨在传播BazarLoader,感染易受攻击的Windows主机。如果受害者在易受攻击的 Windows 主机上双击提取的 JavaScript 文件,则会检索并运行 BazarLoader 恶意软件的 DLL。DLL以.dat文件扩展名保存到受感染用户的AppData\Local\Temp目录中。感染流量是通常在 BazarLoader 中观察到的典型流量。

总结

该活动近期以“被盗图像证据”和侵犯版权为主题,但上个月还使用了“DDoS攻击证明”主题。无论使用哪种主题,该活动在2021年都相当活跃,研究人员预计它将在今年剩余时间内继续进行攻击活动,可能会持续到2022年。

失陷指标(IOC)12
BazarLoader 垃圾邮件 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。