skip to Main Content

Cybercrime, Bazar diventa uno dei malware di riferimento per il 2021

di Pierguido Iezzi

Gli esperti di cybersecurity: Bazar, con stretti legami a Trickbot, sta diventando uno dei malware di riferimento del 2021

Bazar, con stretti legami a Trickbot, sta diventando uno dei malware di riferimento del 2021. Secondo quando riportato anche dai ricercatori di cybersecurity di Fortinet, si è fatto notare per la prima volta nel 2020, come strumento utile al cybercrime per creare una backdoor e fornire l’accesso a sistemi Windows compromessi, conferendo loro (almeno a livello potenziale) il totale controllo del dispositivo. Da tale accesso è talvolta possibile muoversi nella rete di riferimento per raccogliere informazioni sensibili o rilasciare altri codici malevoli: in particolare i ransomware. La backdoor, infatti, è stata utilizzata in diversi attacchi rivolti a società dei più svariati settori. Tecnologia, Healthcare, manifattura e logistica, con un ampio raggio geografico, a partire dal Nord America, arrivando fino in Europa. I ricercatori hanno peraltro collegato il trojan agli sviluppatori di Trickbot, uno dei malware più utilizzati dagli ultimi anni.

Il cybercrime ha messo in circolazione una nuova variante potenziata del trojan

Ora è stata scoperta una nuova variante del trojan Bazar, equipaggiata con script anti-rilevamento per rendere molto più difficile la sua rilevazione da parte dei sistemi EDR e dagli antivirus. Tali tecniche difensive includono API a codice che possono essere eseguite ove necessario, oltre a sistemi di offuscamento del codice e la cifratura di alcune stringhe per rendere ancora più complessa l’analisi e la scansione da parte dei software AV. Parte di questi nuovi strumenti sono stati programmati con il linguaggio NIM. Un’ulteriore indicazione che le gang del cybercrime sono più attive che mai e pronte a prendere tutti i provvedimenti necessari per non finire “fuori mercato”. Il nuovo arsenale difensivo sarebbe stato aggiunto a Bazar verso la fine di gennaio, in coincidenza con una campagna di phishing ideata per distribuire una versione aggiornata del malware.

Strategie di accesso del malware Bazar

Come in altre campagne, il phishing è stato il grimaldello per convincere le vittime a cliccare sul link dannoso. Nel caso di obiettivi “corporate”, si poteva trattare di finte email contenenti reclami da parte di clienti fittizi, fatturazioni o richieste di pagamento campate per aria o anche l’offerta di un bonus del tutto inesistente. Qualsiasi fosse l’angolo di attacco scelto dagli aggressori, l’obiettivo era sempre lo stesso: cercare di convincere la potenziale vittima a cliccare su link che avrebbero dovuto reindirizzare il destinatario a un PDF contenente informazioni aggiuntive rispetto al tema dell’email. Questi conducevano in realtà a una web page dannosa in cui si faceva riferimento all’email iniziale ed era presente un invito a scaricare un file. Così veniva scaricato Bazar a sistema e veniva lanciata la procedura di installazione del malware.

A installazione ultimata, gli aggressori dispongono così di una backdoor per accedere al sistema compromesso. La campagna phishing per veicolarlo è ancora in corso

A installazione ultimata, gli aggressori dispongono così di una backdoor per accedere al sistema compromesso. Questa può quindi essere utilizzata per portare avanti la campagna d’attacco o essere ceduta a terzi, ovvero ad altri cyber criminali specializzati in un altro tipo di attività (vendendo gli accessi alle gang di Ransomware). Ricordiamo ai lettori che questa campagna di phishing legata a Bazar è ancora attiva e continuano a essere rilevati nuovi e frequenti attacchi.

Come difendersi dal phishing

Per evitare di cadere vittima di attacchi phishing e installare inavvertitamente Bazar o altri malware, è consigliabile formare i propri dipendenti (o qualsiasi persona abbia accesso alla rete aziendale o dell’organizzazione di riferimento) attraverso specifici percorsi di simulazione di attacco come il Phishing attack Simulation. La formazione in questo ambito è rivolta a raggiungere i seguenti obiettivi:

  • Creare consapevolezza, ovvero far prendere coscienza alle risorse da formare che il problema è presente e continua a evolversi. Il rischio c’è e sarebbe imprudente considerarsi troppo “smart” per poter diventare vittime.
  • Offrire esempi pratici per dare un’idea concreta di quali situazioni ci si possa trovare davanti.
  • Creare e applicare procedure di sicurezza preventiva, automatiche e/o manuali (ovvero tramite la scansione dei messaggi in accesso e formando i propri dipendenti in modo che sappiano riconoscere intuitivamente le situazioni pericolose e indicare una persona di riferimento in presenza di casi dubbi).

Oltre alla formazione su larga scala, non va dimenticata l’importanza di una “patching strategy”, ovvero una programmazione puntuale dell’aggiornamento degli elementi software e hardware della rete aziendale per “patchare” eventuali vulnerabilità e disinnescare exploit pericolosi.

Non abbassiamo la guardia!

Back To Top