A principios de febrero de 2021, el malware Bazarloader apareció en las noticias sobre su mecanismo de entrega del vector de ataque inicial. Engaña a una víctima para que se conecte con una llamada falsa en la que un actor de amenazas solicita descargar archivos adjuntos de Excel maliciosos del portal para infectarlos. Recientemente, observamos que su mecanismo de entrega está cambiando a una técnica más antigua, conocida popularmente como «WordProcessingML», y ahora entrega archivos adjuntos maliciosos directamente por correo electrónico.
¿Qué es WordProcessingML?
WordProcessingML o Term 2003 XML Document es un formato basado en XML introducido en Microsoft Business 2003 como uno de los formatos que se pueden elegir en la función «Guardar como» para guardar documentos de Phrase, aunque no es el formato predeterminado (p. Ej., DOC, un formato binario). Esto es diferente del «formato de archivo XML abierto de Microsoft Workplace» introducido en Place of work 2007, que consiste en un archivo ZIP de varios archivos, incluido XML. Por el contrario, WordProcessingML es un único archivo XML sin comprimir. Las versiones posteriores de MS Business office aún pueden cargar y guardar WordProcessingML.
Cadena de infección:
Cadena de ataque
La infección comienza con un malspam que tiene un documento de Microsoft Phrase (el documento XML de Phrase 2003 más antiguo). Durante la ejecución del archivo de documento XML, se abrirá automáticamente la aplicación de Phrase y ejecutará las macros actuales.
En la figura siguiente, podemos ver la sintaxis de documentos y macros.
Fig.1- Archivo XML original
Fig.2- Vista del documento a la víctima
En el archivo wordprocessingML, el atributo “
Fig.3- Pasos para obtener el archivo OLE
El archivo OLE resaltado anteriormente se usa para colocar el archivo HTA en la máquina de la víctima en la ubicación «c: ProgramData » con la ayuda de la línea de comando.
Los adversarios también utilizan datos de texto con «y2nb» ofuscado en el archivo doc primary para eludir las soluciones AV. Al eliminar «y2nb», obtenemos datos codificados en base64 que contienen la URL ultimate para descargar la carga útil DLL maliciosa. La siguiente imagen muestra el proceso genuine.
Fig.4- URL para descargar DLL
Estos procesos se realizan en tiempo de ejecución mediante macros VBA presentes en el archivo OLE y el archivo HTA «iCoreBr.hta» colocado en la ubicación «c: ProgramData «. El archivo caído se puede ver en la figura 5.
Fig.5- Archivo HTA para descargar DLL
La DLL descargada está escrita en la carpeta pública de la víctima con el nombre «icoreBr.jpg”Para confundir a la víctima como se muestra en la figura 6.
Fig.6- DLL descargado como jpg
Esta DLL relacionada con BazarLoader se utiliza para descargar otros módulos de familias de malware como Trickbot, Ryuk Ransomware y Cobalt strike activity.
Conclusión:
Como la campaña Bazarloader aún está activa y está cambiando su mecanismo de difusión, los usuarios deben tener cuidado al abrir correos electrónicos, documentos enviados por remitentes desconocidos y mantener actualizado el AV. Los clientes de Fast Recover están protegidos contra este tipo de ataques en múltiples niveles de detección.
IoC:
- Archivos WordProcessingML: 1b265cbdfb47ef2675bbc19d7542aec3
- DLL: dba397022561b196d000d81907f543d0
- Dominios: obeymanagement2016b.com, nephewboring2013b.com