【安全资讯】BazarLoader信息窃密程序新增两种感染机制

安恒威胁情报中心 2021-11-25 14:13:46 173人浏览

引言

在2021年第三季度中,使用信息窃取程序BazarLoader的活动激增。近日,研究人员发现,其现有的交付方法新增了两种感染机制,攻击者可以滥用这些机制窃取数据或部署勒索软件。目前,美洲是感染BazarLoader数量最多的地区。

 

 

简况

通过受感染的安装程序传播

研究人员在对BazarLoader的日常监控中,发现了与 BazarLoader捆绑在一起的 VLC媒体播放器 和 TeamViewer 软件包的受感染版本。虽然最初的交付机制尚未确定,但这些软件包的使用可能是更广泛的社会工程技术的一部分,以欺骗用户下载并执行受感染的安装程序。与BazarLoader捆绑的受感染安装程序如下:

 

 

当安装程序加载时,会释放并执行 BazarLoader 可执行文件。安装程序在执行 ste.exe 后创建进程“vlc-3.0.16-win3..2.tmp”,该进程将后一个可执行文件复制到磁盘并执行。然后与命令和控制 (C&C) 服务器连接,并将其自身的副本注入到一个新的暂停的 MS Edge 进程中。BazarLoader 可执行文件的进程如下图:

 

通过 ISO 文件传播

第二种方法涉及使用带有Windows链接(LNK)和动态链接库(DLL)负载的ISO文件。LNK 文件使用文件夹图标来欺骗用户点击,从而使该文件能够运行随附的 BazarLoader DLL 文件。然后调用导出函数“EnterDLL”。Rundll32.exe 加载恶意 DLL 并与 C&C 服务器通信,然后继续生成暂停的 MS Edge 进程以将自身注入其中,如下图所示:

 

 

 

总结

研究人员预计,BazarLoader 将继续发展其交付能力,因此,建议组织部署可靠的反恶意软件解决方案以避免被感染。

 

 

 

失陷指标(IOC)776
BazarLoader 美洲 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。