هکرها برای ارائه بدافزار BazarBackdoor از طریق فایلهای RAR و ZIP از تکنیک چند برنامه فشردهساز استفاده میکنند.
شهربانو شیرزاد، خبرگزاری دانا، سرویس دانش و فناوری؛ محققان امنیتی در Confence Intelligence یک کمپین فیشینگ را مورد تجزیه و تحلیل قرار دادند. این کمپین از تکنیک چند فشرده ساز برای تحویل بدافزار BazarBackdoor از طریق آرشیوهای RAR و ZIP استفاده کرده بود.
گریز از درگاه ایمیل امن (SEG)؛ کلید تاثیر حداکثری بار حمله فیشینگ است و استفاده از روند افزایشی فایلهای تو در تو به این هدف کمک کرده است. محققان میگویند: این کمپین فیشینگ نشان میدهد که یک فایل با چندین لایه فشردهسازی میتواند از کشف توسط SEG جلوگیری کند و به کاربر نهایی برسد.
بدافزار BazarBackdoor از طریق فایلهای تودرتوی آرشیوهای RAR و ZIP ارائه میشود.
BazarBackdoor یک تروجان کوچک است که برای جمع آوری ردپای یک سیستم و استقرار بدافزارهای دیگر استفاده میشود.
این یک بدافزار مخفی دانلود کننده است که توسط همان گروه یعنی TrickBot ارزیابی و استفاده میشود. یک کمپین مشابه BazarBackdoor که اوایل این ماه اتفاق افتاد، مخاطبان کسب و کار را با موضوع روز محیط زیست با یک ضمیمه بایگانی فریب داد.
کمپین فیشینگ با طرح زمینه روز محیط زیست با یک فایل آرشیو ضمیمه
اینجا هر دو ضمیمه با پسوندهای rar و zip شامل انواع مختلفی از آرشیوها هستند؛ به عبارت دیگر هر یک از این بایگانیهای ضمیمه شده دارای چندین بایگانی مختلف هستند که درون آنها قرار گرفته است.
فایل ضمیمه شده "Info.rar" خود شامل چندین rar است که فایل جاوا اسکریپت را نگهداری میکنند.
فایل ضمیمه شده "Brief for colleaques.zip " که شامل چندین فایل ضمیمه نگه دارنده فایل جاوا اسکریپت است.
Cohense Intelligence خاطر نشان میکند که فشردهسازی انواع فایلهای بایگانی بر عامل تهدید تمرکز میکند؛ چرا که احتمال دارد که به دلیل یک فایل ناشناخته، عدم فشردهسازی SEG محدود شود یا شکست بخورد. بنابراین، بایگانیهای حاوی پروندههای جاوا اسکریپت که بدافزارTrickbot Bazar Backdoor را تحویل میدادند؛ یک درب پشتی مخفیانه هستند که بر روی شرکتها استفاده میشوند تا امکان کنترل از راه دور این اهداف توسط متجاوزان فراهم شود.
تکنیک استفاده شده در اینجا png payload است وقتی مجددا علامت گذاری میشود و در فایلهای سیستم حرکت میکند؛ قابل اجرا است و سپس جاوا اسکریپت بارگیری را شروع میکند که نمونهای ازBazar Backdoor است. محققان اظهار داشتند که بدافزار Bazarbackdoor ممکن است Cobalt Strick را بارگیری و اجرا کند. این یک جعبه ابزار قانونی است که برای تمرین طراحی شده تا در محیط گسترش یابد.
حملات فیشینگ با تکامل تکنیکها به موفقیت خود ادامه میدهند. پس از دستیابی به سیستمهای موجود در شبکه، عوامل تهدید میتوانند حملات باجافزار را آغاز کنند. اطلاعات حساس را سرقت یا دسترسی را به سایر مجرمان اینترنتی بفروشند.
