TLP: White
Nivel de riesgo: [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organización.
Vector de ataque: Correos phishing.
Impacto: La infección exitosa de un equipo con este programa malicioso puede ocasionar que un usuario malintencionado obtenga información confidencial de la organización.

Descripción

Expertos en seguridad han identificado una campaña maliciosa relacionada con un programa denominado “BazarBackdoor”. La pieza maliciosa es una variante del troyano bancario llamado “TrickBot”, el cual fue identificado por primera vez en 2016, y ha estado afectando a dispositivos, principalmente con sistema operativo Windows.

El compromiso inicial de BazarBackdoor comienza por correos phishing, relacionados con supuestas quejas de clientes, informes de nóminas, cartas de despido, e incluso utilizan la temática de la pandemia COVID-19 para propagarse. Los emails son enviados mediante una plataforma de marketing llamada “Sendgrip”, el uso de esta aplicación impide conocer el origen real del remitente. En el correo se agrega un enlace a un supuesto documento alojado en Google Docs, sin embargo, este no es visible desde un navegador Web, lo que ocasiona que la víctima tenga que descargarlo y abrirlo en su dispositivo. Aparentemente los documentos tienen la extensión pdf o doc, pero, en realidad es la carga maliciosa del programa, el cual instala la puerta trasera (backdoor) para permitir la comunicación entre el atacante y el dispositivo de la víctima.

Las investigaciones informan que el funcionamiento de este programa malicioso se divide en dos partes: el BazarLoader y la BazarBackdoor. Al ejecutarse el loader, reserva memoria para almacenar y descifrar su código, utilizando el método de acceso a memoria Numa (rutina “VirtualAllocExNuma”), para poder ejecutarse más rápidamente. Posteriormente obtiene el código “shellcode” donde se incluyen cadenas cifradas como APIs, DLLs, y servidores de Comando y Control (C&C). Finalmente el loader inicia la comunicación con el servidor C&C y descarga el “payload”.

El payload de BazarBackdoor agrega código malicioso a los procesos “svchost”, “explorer.exe” y “cmd.exe”, utilizando una técnica llamada “Process Hollowing”, la cual consiste en crear un proceso en estado suspendido para agregar código malicioso y al reanudarlo, el programa malintencionado se ejecuta en segundo plano como un proceso legítimo lo que permite evadir sistemas de seguridad. Finalmente BazarBackdoor crea persistencia en el dispositivo mediante la clave de registro: “HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit”.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas

  • Sistemas operativos Microsoft.

Indicadores de compromiso IoCs

A continuación se listan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.

  • SHA-256
    • 11b5adaefd04ffdaceb9539f95647b1f51aec2117d71ece061f15a2621f1ece9
    • 5a888d05804d06190f7fc408bede9da0423678c8f6eca37ecce83791de4df83d
    • 7c93d9175a38c23d44d76d9a883f7f3da1e244c2ab6c3ac9f29a9c9e20d20a5f
    • ca8194e9a1232e508619269bdf9a9c71c4b76e7852d86ed18f02088229b0f7c7
    • 05abd7f33de873e9630f9e4f02dbd0cbc16dd254f305fc8f636dafba02a549b3
    • 4ee0857d475e67945af2c5e04be4dec3d6d3eb7c78700f007a7ff6f8c14d4cb3
    • b10dcec77e00b1f9b1f2e8e327a536987ca84bcb6b0c7327c292f87ed603837d
    • e90ccb9d51a930f69b78aa0d2612c4af2741311088b9eb7731857579feef89c3
    • 6cbf7795618fb5472c5277000d1c1de92b77724d77873b88af3819e431251f00
    • 2f0f0956628d7787c62f892e1bd9edda8b4c478cf8f1e65851052c7ad493dc28
    • 94dcaa51e792d1fa266cae508c2c62a2ca45b94e2fdfbca7ea126b6cd7bc5b21
    • 37d713860d529cbe4eab958419ffd7ebb3dc53bb6909f8bd360adaa84700faf2
    • 210c51aab6fc6c52326ece9dbd3ddab5f58e98432ef70c46936672c79542fbd0
    • 58880777c4b2d9d1ac7cd145c6704a936a54510eaaa7ae61ce8ca8390e355006
    • 0f94b77892f22d0a0e7095b985f30b5edbe17ab5b8d41f798ef0c708709636f4
    • 3ee36a9401a4df622be5dc12ac9b9bcf1d607c8d394b12e863ec17776c2e0fe7
    • c55f8979995df82555d66f6b197b0fbcb8fe30b431ff9760deae6927a584b9e3
    • 35b3fe2331a4a7d83d203e75ece5189b7d6d06af4abac8906348c0720b6278a4
    • 9d3a265688c1a098dd37fe77c139442a8eb02011da81972ceddc0cf4730f67cf
    • 1e123a6c5d65084ca6ea78a26ec4bebcfc4800642fec480d1ceeafb1cacaaa83
    • 5974d938bc3bbfc69f68c979a6dc9c412970fc527500735385c33377ab30373a
    • 5dbe967bb62ffd60d5410709cb4e102ce8d72299cea16f9e8f80fcf2a1ff8536
    • 4e4f9a467dd041e6a76e2ea5d57b28fe5a3267b251055bf2172d9ce38bea6b1f
    • a76426e269a2defabcf7aef9486ff521c6110b64952267cfe3b77039d1414a41
    • ce478fdbd03573076394ac0275f0f7027f44a62a306e378fe52beb0658d0b273
    • 859fa9acf0b8a989a1634a1eee309355438b9f6b6f73b69f12d53ac534618c6a
    • 55d95d9486d77df6ac79bb25eb8b8778940bac27021249f779198e05a2e1edae
    • 835edf1ec33ff1436d354aa52e2e180e3e8f7500e9d261d1ff26aa6daddffc55
  • SHA-1
    • 3884ccf43010733ead38ddea11f249b33f2f1609
    • 66f66cd650c9a08d2433c92d0fb78b22cfc279be
    • c47ba9a3bd09ac601e8766acf7add73710743984
    • 76e1b95f5fb6251bb79de78ae5169044885e07e3
    • 15d070be7838e73a3862d267cb9aff0f0b77b715
    • 9c14c7958a58ad5916c91a5ea42bc453db73b947
    • b19620bfa0a6311cdeac1a63aaf477d5b3df7730
    • 81982119280c2a435f13b09a2995d06f422ca013
    • 0dd83eb2235f1775b981ed992f121367f723b23c
    • fb5a481431a0bfc6785cb101e2eefec1840d1d16
    • 53ee27c7893574d496a0b512363e690ac9f6d7ba
    • 6b14b1634706ddd60af62dd276645727c7762094
    • 68d8e4654662c4e83c4c101e70eb132a1d879e0e
    • 078f815f9b4e3dc108dedc3a00eaa666058f035e
    • 1e3411e489760793255a4669ba66c04d152e3e3f
    • cdfd857d2b07164b1a0663ce6558176e77e578a2
    • c0d22a96c77a2a69fc1a2f8879c4419868f8f725
    • da702e36ccf5519831fec27904571c09cb1c200f
    • 64f99413313112f54461bcb3f40a31413d6e260e
    • 332ffee6bc1af17db1c732a1bed6977fd1e6017e
    • a39725b40680c015058f829a28539faa2867cc4e
    • f00bafe376116da46ee0abdb8640e7d0f39af95f
    • d7b744fd876bc7434cab8f72df66d1bc9c7fcd1a
  • MD5
    • cdddcbc43905f8a1a12de465a8b4c5e5
    • 8f290a2eacfdcfea4f5ca054ae25bc62
    • b533f8b604b2cc99ce938d8303994e43
    • 0e9f7f512a7eae62c091c7f0e2157d85
    • 267b23b206cde7086607e2c4471a97c4
    • 0708c3b1c48d71148cfd750e70511820
    • df3db8d75d6c433c4c063d17f22e9b21
    • 3fe91dbbcf0962895f768da6e40853ee
    • 8b3215a899af33e3f6beb47a08787163
    • 3078b0b4b1dc48d62019d6ccca9cf098
    • e16a92cccc3700196337c9ad43210f38
    • 9066f4c98967e27a1d32f01c47884785
    • 07d1c4952795e804b87c7c9d536dc547
    • c25965d25b5ccdc2f401188f27972c22
    • 8aa10fc713d67d4ab34031a6f27024ba
    • 90a7b0c10eac98ff8d03823c19cd0add
    • dfcf5342f034605cda27d08ce3706d0f
    • b3b2333fa8195ad7003b6b3624ec7271
    • a9952f532a7141910b2261394a52e6dc
    • a5d0f9c549834d475a5faf9bc12974d7
    • db9052ec56eed900354f4379d576e1b5
    • 2217d26aa15eec029c693c7ceedad0bf
    • fd18f895de2806d7bfe6fcbd189e4bb9
  • Direcciones IP identificadas:
    • 51[.]81[.]113[.]26
  • URLs relacionadas con esta campaña:
  • Dominios relacionados con esta campaña:
    • newgame[.]bazar
    • thegame[.]bazar
    • tallcareful[.]bazar
    • realfish[.]bazar
    • bestgame[.]bazar
    • forgame[.]bazar
    • portgame[.]bazar
    • eventmoult[.]bazar
    • coastdeny[.]bazar
    • workrepair[.]bazar
  • Mutex
    • mn_185445
    • ld_201127

Reglas Yara

Se puede obtener la regla YARA para la detección en el sistema IDS en la siguiente URL:

Medidas de contención

  • No abrir documentos cuyo origen sea desconocido y/o sospechoso.
  • Verificar el remitente de cada correo electrónico antes de realizar la descarga de cualquier documento adjunto.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Configurar los equipos para mostrar las extensiones para todos en los archivos, con el fin de identificar posibles ejecutables que pudieren hacerse pasar por otro tipo de archivo.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.

Referencias