¿Qué necesita saber sobre el malware BazarLoader?


A principios de febrero de 2021, el malware Bazarloader apareció en las noticias sobre su mecanismo de entrega del vector de ataque inicial. Engaña a una víctima para que se conecte con una llamada falsa en la que un actor de amenazas solicita descargar archivos adjuntos de Excel maliciosos del portal para infectarlos. Recientemente, observamos que su mecanismo de entrega está cambiando a una técnica más antigua, conocida popularmente como «WordProcessingML», y ahora entrega archivos adjuntos maliciosos directamente por correo electrónico.

¿Qué es WordProcessingML?

WordProcessingML o Term 2003 XML Document es un formato basado en XML introducido en Microsoft Business 2003 como uno de los formatos que se pueden elegir en la función «Guardar como» para guardar documentos de Phrase, aunque no es el formato predeterminado (p. Ej., DOC, un formato binario). Esto es diferente del «formato de archivo XML abierto de Microsoft Workplace» introducido en Place of work 2007, que consiste en un archivo ZIP de varios archivos, incluido XML. Por el contrario, WordProcessingML es un único archivo XML sin comprimir. Las versiones posteriores de MS Business office aún pueden cargar y guardar WordProcessingML.

Cadena de infección:

Cadena de ataque

La infección comienza con un malspam que tiene un documento de Microsoft Phrase (el documento XML de Phrase 2003 más antiguo). Durante la ejecución del archivo de documento XML, se abrirá automáticamente la aplicación de Phrase y ejecutará las macros actuales.

En la figura siguiente, podemos ver la sintaxis de documentos y macros.

Fig.1- Archivo XML original

Fig.2- Vista del documento a la víctima

En el archivo wordprocessingML, el atributo “” en el elemento ”” contiene el archivo “editdata.mso” que es un objeto ActiveMime codificado en foundation64. ActiveMime son datos comprimidos con Zlib que comienzan en el desplazamiento 0x32, que contiene macro VBA y datos relacionados con objetos OLE.

Fig.3- Pasos para obtener el archivo OLE

El archivo OLE resaltado anteriormente se usa para colocar el archivo HTA en la máquina de la víctima en la ubicación «c: ProgramData » con la ayuda de la línea de comando.

Los adversarios también utilizan datos de texto con «y2nb» ofuscado en el archivo doc primary para eludir las soluciones AV. Al eliminar «y2nb», obtenemos datos codificados en base64 que contienen la URL ultimate para descargar la carga útil DLL maliciosa. La siguiente imagen muestra el proceso genuine.

Fig.4- URL para descargar DLL

Estos procesos se realizan en tiempo de ejecución mediante macros VBA presentes en el archivo OLE y el archivo HTA «iCoreBr.hta» colocado en la ubicación «c: ProgramData «. El archivo caído se puede ver en la figura 5.

Fig.5- Archivo HTA para descargar DLL

La DLL descargada está escrita en la carpeta pública de la víctima con el nombre «icoreBr.jpg”Para confundir a la víctima como se muestra en la figura 6.

Fig.6- DLL descargado como jpg

Esta DLL relacionada con BazarLoader se utiliza para descargar otros módulos de familias de malware como Trickbot, Ryuk Ransomware y Cobalt strike activity.

Conclusión:

Como la campaña Bazarloader aún está activa y está cambiando su mecanismo de difusión, los usuarios deben tener cuidado al abrir correos electrónicos, documentos enviados por remitentes desconocidos y mantener actualizado el AV. Los clientes de Fast Recover están protegidos contra este tipo de ataques en múltiples niveles de detección.

IoC:

  • Archivos WordProcessingML: 1b265cbdfb47ef2675bbc19d7542aec3
  • DLL: dba397022561b196d000d81907f543d0
  • Dominios: obeymanagement2016b.com, nephewboring2013b.com