警惕，研究者发现在线表格或许暗含恶意软件Bazar Loader

发布时间：2022-03-30 14:40 所属栏目：53 来源：互联网

导读：尽管钓鱼邮件仍然是传统的攻击途径，但攻击者也一直并未放弃寻找新攻击方式。最近，研究人员发现 BazarLoader 通过在线表格发起攻击。 BazarLoader 被认为与网络犯罪组织 Wizard Spider 关系极为密切，该组织开发了 Trickbot 银行木马和 Conti 勒索软件而广

尽管钓鱼邮件仍然是传统的攻击途径，但攻击者也一直并未放弃寻找新攻击方式。最近，研究人员发现 BazarLoader 通过在线表格发起攻击。

BazarLoader 被认为与网络犯罪组织 Wizard Spider 关系极为密切，该组织开发了 Trickbot 银行木马和 Conti 勒索软件而广为人知。

攻击者伪装成加拿大豪华建筑公司的员工，寻求产品的报价。攻击者选用该方法有两个目的：

将流量伪装成合法流量
通过合法发件人发送，逃避了恶意邮件检测
攻击者只需要等着目标公司的受害者主动送上门即可。

发送恶意样本
通过电子邮件确认身份后，攻击者将以项目谈判的名义引诱受害者下载恶意文件。

BazarLoader 恶意软件
攻击者共享的是 .iso 文件，其中包含两个伪装成不同文件类型的文件。看上去其中一个是指向所在文件夹的快捷方式，另一个是带有合法 Windows 文件名的 .log 文件。实际上，一个是 Windows 的 LNK 文件，另一个是 DumpStack.log 文件。

通过 TransferNow 发送的恶意软件

快捷方式允许创建者指定命令行参数在受害者设备上执行操作，攻击者常常利用该类型的文件进行攻击。

LNK 文件

DLL 通过进程注入 svchost.exe来逃避检测，并且使用 443 端口与 C&C 服务器 13.107.21.200 进行通信。

总结
攻击者会冒充知名企业创建相似域名来获取受害者的信任，例如将 .com 顶级域名更改为 .us。

BazarLoader 通常作为多阶段恶意软件中的一环，后续可以部署 Conti 勒索软件或者 Cobalt Strike 恶意样本。

（编辑：ASP站长网）