BazarLoader มัลแวร์ที่แฝงมากับแอพฯ Slack และ BaseCamp

BazarLoader มัลแวร์ที่แฝงมากับแอพฯ Slack และ BaseCamp ที่ใช้ทำงานในช่วง Remote work หรือ Work from Home โดยจะทำการหลอกล่อเหยื่อให้หลงเชื่อ และคลิ๊กลิ้งเพื่อติดตั้งมัลแวร์ผ่านแอพฯ นอกจากนี้ยังมีการประยุกต์ใช้ voice-call เพื่อมาช่วยหลอกล่อเหยื่อให้ตายใจอีกด้วย

BazarLoader เขียนด้วย C ++ มีหน้าที่หลักในการดาวน์โหลดและเรียกใช้โมดูลเพิ่มเติม BazarLoader ถูกพบครั้งแรกในช่วงเดือนเมษายนที่ผ่านมา และตั้งแต่นั้นเป็นต้นมานักวิจัยได้สังเกตเห็นการทำงานอย่างน้อย 6 คำสั่ง “เป็นการส่งสัญญาณว่ามีการใช้งาน และมีการพัฒนาอย่างต่อเนื่อง”

เมื่อไม่นานมานี้มีการใช้มัลแวร์ในการจัดเตรียมแรนซัมแวร์โดยเฉพาะ “ ด้วยการมุ่งเน้นไปที่เป้าหมายในองค์กรขนาดใหญ่ BazarLoader อาจถูกใช้เพื่อโจมตี ransomware ในภายหลัง” ตามคำแนะนำจาก Sophos

การโจมตีที่แฝงมากับ Slack และ BaseCamp

ตามที่นักวิจัยของ Sophos ระบุในแคมเปญแรกที่พบว่าผู้ไม่หวังดีจะกำหนดเป้าหมายไปที่พนักงานขององค์กรขนาดใหญ่ด้วยอีเมลที่อ้างว่าจะเสนอข้อมูลสำคัญที่เกี่ยวข้องกับสัญญาการบริการลูกค้า ใบแจ้งหนี้ หรือ การจ่ายเงินเดือน

“ตัวอย่างสแปมหนึ่งรายการพยายามปลอมตัวเป็นการแจ้งเตือนว่าพนักงานถูกปลดออกจากงาน” Sophos กล่าว

ลิงก์ภายในอีเมลนั้นจะถูกโฮสต์บนที่เก็บข้อมูลบนคลาวด์ของ Slack หรือ BaseCamp ซึ่งหมายความว่าลิงก์เหล่านี้อาจดูถูกต้องหากเป้าหมายทำงานในองค์กรที่ใช้แพลตฟอร์มใดแพลตฟอร์มหนึ่ง ในยุค Remote work ยิ่งดูน่าเชื่อถือ

หากเป้าหมายคลิกที่ลิงก์ BazarLoader จะดาวน์โหลดและดำเนินการบนเครื่องของเหยื่อ โดยทั่วไปลิงก์จะชี้โดยตรงไปยังไฟล์ปฏิบัติการที่เซ็นชื่อแบบดิจิทัลโดยมีกราฟิก Adobe PDF เป็นไอคอน ไฟล์เหล่านี้มักจะขยายอุบายโดยมีชื่อเช่น presentation-document.exe, preview-document- [number] .exe หรือ annualreport.exe นักวิจัยตั้งข้อสังเกต

‘BazarCall’ แคมเปญ

ในแคมเปญที่สอง Sophos พบว่าข้อความสแปมนั้นปราศจากสิ่งที่น่าสงสัย: ไม่มีข้อมูลส่วนบุคคลใด ๆ รวมอยู่ในเนื้อหาของอีเมลไม่มีลิงก์และไม่มีไฟล์แนบ

“ข้อความทั้งหมดอ้างว่าการทดลองใช้ฟรีสำหรับบริการออนไลน์ที่ผู้รับอ้างว่ากำลังใช้อยู่จะหมดอายุในวันถัดไปหรือสองวันถัดไปและฝังหมายเลขโทรศัพท์ที่ผู้รับต้องโทรเพื่อที่จะเลือกไม่รับบริการที่มีค่าใช้จ่ายสูง การต่ออายุ” นักวิจัยอธิบาย

หากเป้าหมายตัดสินใจที่จะรับโทรศัพท์บุคคลที่เป็นมิตรอีกด้านหนึ่งจะให้ที่อยู่เว็บไซต์แก่พวกเขาซึ่งในไม่ช้าผู้ตกเป็นเหยื่ออาจยกเลิกการสมัครรับบริการได้

“เว็บไซต์ที่ออกแบบมาอย่างดีและดูเป็นมืออาชีพฝังปุ่มยกเลิกการสมัครไว้ในหน้าคำถามที่พบบ่อย” Sophos กล่าว “ การคลิกปุ่มนั้นจะส่งเอกสาร Office ที่เป็นอันตราย (ไม่ว่าจะเป็นเอกสาร Word หรือสเปรดชีต Excel) ซึ่งเมื่อเปิดขึ้นจะทำให้คอมพิวเตอร์ติดมัลแวร์ BazarLoader เดียวกัน”

ที่มา  : https://threatpost.com