Análisis de malware

Malware BazarBackdoor: qué es, cómo funciona y cómo prevenirlo | Destacado malware

17 de junio de por Daniel Dimov

Introducción a BazarBackdoor

BazarBackdoor es un nuevo malware con la capacidad de instalar varios tipos de programas maliciosos en las computadoras infectadas. Se cree que fue creado por los desarrolladores del troyano TrickBot, un troyano bancario que infecta máquinas con Windows. Esto se debe a que BazarBackdoor presenta código y otras similitudes con el troyano TrickBot.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

El funcionamiento de BazarBackdoor

BazarBackdoor se propaga a través de mensajes de phishing que supuestamente provienen de remitentes legítimos. Por ejemplo, los mensajes pueden incluir informes de nómina relacionados con COVID-19 y listas de empleados despedidos. La víctima potencial debe hacer clic en un enlace a documentos que parecen estar almacenados en Google Docs. Después de hacer clic en ese enlace, será redirigido a páginas de destino personalizadas que parecen ser documentos PDF, Word o Excel.

Las páginas de destino solicitan a la víctima potencial que haga clic en un enlace para ver los archivos adjuntos. Después de hacer clic en el enlace, se descargará un archivo ejecutable relacionado con el nombre del archivo que aparece en la página de destino. Por ejemplo, una página de destino sobre informes de COVID-19 activará la descarga del archivo «PreviewReport.Doc.exe». Dado que las extensiones de los archivos almacenados en computadoras con Windows generalmente no se muestran de forma predeterminada, la mayoría de los usuarios de Windows verán el archivo almacenado como «PreviewReport.Doc» en lugar de «PreviewReport.Doc.exe». El archivo ejecutable, también conocido como BazaLoader, es un cargador de puerta trasera.

Si la víctima abre BazaLoader, se instalará en la computadora infectada y permanecerá inactivo por un corto tiempo. A continuación, se conectará a un servidor de comando y control con el objetivo de descargar una puerta trasera. Cuando se instala la puerta trasera, descargará e iniciará Cobalt Strike, una aplicación legítima de seguridad de la información. Los estafadores suelen utilizar versiones descifradas de Cobalt Strike para propagarse por una red, implementar malware y robar credenciales.

Defensa contra BazarBackdoor

Las infecciones de BazarBackdoor se pueden evitar mediante el uso de un enfoque de múltiples capas que incluye, entre otras, las cinco medidas siguientes: mejorar la concienciación sobre la seguridad de la información de los miembros del personal; dificultar que los atacantes envíen mensajes de phishing a los miembros del personal; establecer procedimientos para reportar mensajes sospechosos; instalar antimalware; e implementar políticas integrales de respuesta a incidentes.

Cada una de esas cinco medidas se examinará con más detalle a continuación.

1. Mejorar la concienciación de los miembros del personal sobre la seguridad de la información

Al igual que otros programas maliciosos que se propagan mediante phishing, BazarBackdoor se basa en la falta de habilidades de seguridad de la información de los empleados o contratistas que trabajan en la organización objetivo.

Los creadores de malware utilizan diversas técnicas para crear mensajes de phishing que parezcan auténticos y confiables. BazarBackdoor no es una excepción y los correos electrónicos de phishing utilizados para difundirlo probablemente engañen a muchos usuarios de Internet. Por ejemplo, uno de los mensajes de phishing utilizados por BazarBackdoor dice lo siguiente:

“ Buenos días

Este es el abogado corporativo de Bleeping Computer. Intenté comunicarme con usted en la oficina, pero no está disponible. ¿Cuándo puedo llamarte de nuevo? Debitaremos su cuenta debido a una queja de un cliente de la empresa sobre usted.

Aquí hay una copia de la queja del cliente en documentos corporativos de Google:

[Enlace que aparentemente enlaza con un archivo subido a Google Docs] «

Al aumentar la concienciación de su personal sobre la seguridad de la información, las organizaciones se asegurarán de que mensajes de phishing como este puedan identificarse e ignorarse fácilmente. Esto se puede hacer, por ejemplo, proporcionando a los miembros del personal un conjunto de criterios que indiquen que es probable que un mensaje sea un mensaje de phishing. Tres criterios ejemplares para esto son:

  1. El mensaje incluye errores ortográficos y gramaticales.
  2. El mensaje incluye una amenaza que presiona al destinatario a abrir un archivo adjunto o hacer clic en un enlace.
  3. El mensaje contiene un saludo impersonal (por ejemplo, «Estimado señor o señora», «Hola») sin hacer referencia a una persona en particular.

El mensaje de phishing antes mencionado cumple con cada uno de esos criterios. En primer lugar, incluye numerosos errores ortográficos y gramaticales. En segundo lugar, amenaza con cargar la cuenta del destinatario, incentivándolo así a hacer clic en el enlace para averiguar si la queja es legítima. En tercer lugar, contiene un saludo impersonal, lo que indica que es probable que el mensaje de phishing se envíe simultáneamente a otras personas.

2. Dificultar a los atacantes el envío de mensajes de phishing a los miembros del personal.

Para que un ataque de phishing funcione, los estafadores necesitan encontrar los datos de contacto (normalmente direcciones de correo electrónico) de la organización objetivo. Muchas organizaciones hacen públicas las direcciones de correo electrónico de todos sus funcionarios, lo que facilita las campañas de phishing. Se recomienda hacer pública solo una dirección de correo electrónico para la organización y designar a un responsable de seguridad de la información que examinará la correspondencia enviada a esa dirección de correo electrónico para detectar mensajes de phishing.

3. Establecer procedimientos para reportar mensajes sospechosos

Incluso si una organización toma medidas integrales para evitar que los mensajes de phishing lleguen a su personal, dichos mensajes aún pueden atravesar la línea defensiva. Esto se puede hacer, por ejemplo, utilizando técnicas de phishing. El destinatario de dichos mensajes puede tener dudas reales sobre la autenticidad de dichos mensajes.

Al establecer procedimientos para informar mensajes sospechosos, las organizaciones garantizarán que los miembros del personal que duden de la autenticidad de un mensaje puedan informarlo al departamento de seguridad de la información y abrirlo solo si ese departamento da su consentimiento.

4. Instalación de software antimalware

Se pueden utilizar dos tipos de software antimalware para protegerse contra BazarBackdoor. El primer tipo es el software antiphishing: software que tiene como objetivo identificar contenido de phishing y bloquearlo, generalmente mostrando una advertencia al usuario. El segundo tipo es el software antimalware general, cuyo objetivo es identificar y neutralizar procesos sospechosos, como operaciones de malware desencadenadas al hacer clic en archivos adjuntos maliciosos.

5. Implementación de políticas integrales de respuesta a incidentes

“Errar es humano”, dice la gente. El mismo dicho se aplica aún hoy en el ámbito de la seguridad de la información. A pesar de las mejores medidas preventivas, las organizaciones aún pueden resultar infectadas por BazarBackdoor y otro malware.

Por lo tanto, las organizaciones deben establecer políticas detalladas de respuesta a incidentes con el objetivo de proporcionar pautas sobre (i) cómo responder a los incidentes cibernéticos, (ii) cómo mitigar los daños de dichos incidentes y (iii) cómo recuperar el funcionamiento normal de los infectados. ordenadores después de los incidentes.

Conclusión

BazarBackdoor no debe subestimarse. Tiene la capacidad de apoderarse completamente de una red informática, robar datos confidenciales e instalar todo tipo de malware malicioso en las computadoras infectadas. La prevención exitosa de las infecciones de BazarBackdoor requiere la implementación de una gran cantidad de medidas técnicas y organizativas.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

  1. BazarBackdoor: el nuevo malware sigiloso para piratear redes de la pandilla TrickBot , BleepingComputer
  2. Trojan.TrickBot , Malwarebytes Labs
  3. El grupo detrás de TrickBot difunde Fileless BazarBackdoor y Trend Micro