Οι χάκερ πίσω από το κακόβουλο λογισμικό BazaLoader βρήκαν έναν νέο τρόπο για να ξεγελάσουν τους ιδιοκτήτες ιστότοπων να ανοίξουν κακόβουλα αρχεία: αποστέλλουν ψεύτικες ειδοποιήσεις ότι το site τους εμπλέκεται σε επιθέσεις DDoS ή σε παραβίαση του νόμου περί πνευματική ιδιοκτησίας. Τα μηνύματα περιέχουν ένα νομικό έγγραφο και το σύνδεσμο ενός αρχείου αποθηκευμένου σε φάκελο Google Drive που φέρεται να παρέχει στοιχεία για την πηγή της επίθεσης.
Σε δείγματα που αναφέρθηκαν στο BleepingComputer, οι επιτιθέμενοι χρησιμοποίησαν διευθύνσεις URL από τη Firebase για να προωθήσουν το BazaLoader.
Η μεθοδολογία είναι γνωστή, καθώς ουσιστικά χρησιμοποιούνται phising email για να ξεγελάσουν τους χρήστες και να εκτελέσουν το malware BazaLoader το οποίο στη συνέχεια εκτελεί το Cobalt Strike. Εφόσον αυτά γίνουν με επιτυχία τότε εξασφαλίζεταιη πρόσβαση και μετά ακολουθούν επιθέσεις υποκλοπής δεδομένων, ransomware κ.α. Η Microsoft έχει προειδοποιήσει για αυτήν τη μέθοδο από τον Απρίλιο, όταν χρησιμοποιήθηκε για την προώθηση του malware IcedID.
Με πληροφορίες από bleepingcomputer.com.
