BazarBackdoor: Uusi tietojenkalastelukampanja asentaa laitteeseen takaoven

Yrityskäyttäjiin kohdistettu kalastelukampanja asentaa käyttäjän laitteeseen haittaohjelman, joka mahdollistaa komentojen suorittamisen ja jatkohyökkäyksen yrityksen verkkoon. Käyttäjä saa kalastelusähköpostin, joka on otsikoitu asiakaspalautteeksi, palkkaraportiksi tai listaksi päättyneistä työsuhteista. Sähköposti ei sisällä liitettä vaan linkin Google Docs palveluun.
Linkki johtaa sivulle, jossa kerrotaan, että jos dokumentin katselu ei onnistu automaattisesti niin klikkaa tästä. 

Linkin klikkaaminen käynnistää tiedoston lataamisen käyttäjän koneelle ja koska Windows oletusarvoisesti piilottaa tiedostojen nimien päätteet, ei käyttäjä huomaa lataavansa suoritettavaa tiedostoa. Kun tiedosto käynnistetään, se ottaa yhteyttä komentopalvelimeen ja tarkastaa onko siellä tehtäviä tälle haltuun otetulle laitteelle. Saatuaan haittaohjelman ladattua se lisätään suoraan osaksi Windowsin käyttöjärjestelmärutiinia tiedostoon svchost.exe. Lisäksi ohjelma lisää käyttäjän sisäänkirjautumiseen ajastetun tehtävän, joka tarkistaa onko haittaohjelma jo ladattu ja onko siitä päivitettyä versiota saatavilla. Käyttäjän kone jää siis avoimeksi hyväksikäyttäjälle, kunnes haittaohjelma ja sen tekemät muutokset on poistettu. 

Jos virustorjuntaohjelma ei alun perin estä käyttäjää suorittamasta .doc.exe tai .pdf.exe päätteisiä tiedostoja on tilanne hankala, haittaohjelman latausosuus tekee muutokset svchost.exeen vaikeasti havaittavalla tavalla ja kyseinen prosessi on joka tapauksessa jatkuvasti suorituksessa yhtenä tai useampana instanssina, joten sekään ei herätä huomiota. 

Muistakaa kouluttaa käyttäjiänne sähköpostikalastelun vaaroista ja huolehtia siitä, että yrityksenne tietoturva on riittävällä tasolla!

Lähteet:

• https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/
• https://research.nccgroup.com/2020/06/02/in-depth-analysis-of-the-new-team9-malware-family/
  ​