Wat u moet weten over de BazarLoader-malware?


Begin februari 2021 was Bazarloader-malware in het nieuws over het mechanisme van het leveren van de eerste aanvalsvector. Het misleidt een slachtoffer om verbinding te maken met een nep-oproep waarbij een dreigingsactor vraagt ​​om kwaadaardige Excel-bijlagen van de portal te downloaden om ze te infecteren. We hebben onlangs vastgesteld dat het leveringsmechanisme ervan verschuift naar een oudere techniek – in de volksmond bekend als “WordProcessingML”, en nu levert het schadelijke bijlagen rechtstreeks via e-mail.

Wat is WordProcessingML?

WordProcessingML of Word 2003 XML-document is een op XML gebaseerde indeling die in Microsoft Office 2003 is geïntroduceerd als een van de indelingen die kan worden gekozen in de functie “Opslaan als” om Word-documenten op te slaan, maar niet de standaardindeling (bijv. DOC, een eigen binair formaat). Dit is anders dan het in Office 2007 geïntroduceerde “Microsoft Office Open XML-bestandsformaat”, dat bestaat uit een ZIP-archief van verschillende bestanden, waaronder XML. Daarentegen is WordProcessingML een enkel ongecomprimeerd XML-bestand. Latere versies van MS Office kunnen nog steeds WordProcessingML laden en opslaan.

Infectieketen:

Aanvalsketen

De infectie begint met een malspam met een Microsoft Word-document (het oudere Word 2003 XML-document). Tijdens de uitvoering van het XML-documentbestand wordt automatisch de woordtoepassing geopend en de huidige macro’s uitgevoerd.

In de onderstaande afbeelding kunnen we de syntaxis voor documenten en macro’s zien.

Fig.1- Origineel XML-bestand

Fig.2- Documentweergave voor Slachtoffer

In het tekstverwerkingsML-bestand bevat het attribuut “” in het””-element het bestand “editdata.mso” dat een base64-gecodeerd ActiveMime-object is. ActiveMime is Zlib-gecomprimeerde gegevens vanaf offset 0x32, die VBA-macro- en OLE-objectgerelateerde gegevens bevatten.

Fig.3- Stappen om het OLE-bestand te verkrijgen

Het hierboven gemarkeerde OLE-bestand wordt gebruikt om het HTA-bestand op de computer van het slachtoffer op de locatie “c:ProgramData” te plaatsen met behulp van de opdrachtregel.

Tegenstanders gebruiken ook tekstgegevens met versluierde “y2nb” in het originele doc-bestand om AV-oplossingen te omzeilen. Door “y2nb” te verwijderen, krijgen we base64-gecodeerde gegevens die de uiteindelijke URL bevatten om kwaadaardige DLL-payload te downloaden. De onderstaande afbeelding toont het daadwerkelijke proces.

Fig.4- URL om DLL te downloaden

Deze processen worden uitgevoerd tijdens runtime door VBA-macro’s die aanwezig zijn in het OLE-bestand en HTA-bestand “iCoreBr.hta” dat is neergezet op locatie “c:ProgramData”. Het gedropte bestand is te zien in figuur 5.

Fig.5- HTA-bestand om DLL te downloaden

Gedownloade DLL is met naam in de openbare map van het slachtoffer geschreven”icoreBr.jpg” om het slachtoffer in verwarring te brengen, zoals weergegeven in figuur 6.

Fig.6- DLL gedownload als jpg

Deze BazarLoader-gerelateerde DLL wordt gebruikt om andere modules van malwarefamilies te downloaden, zoals Trickbot, Ryuk Ransomware en Cobalt Strike-activiteit.

Conclusie:

Aangezien de Bazarloader-campagne nog steeds actief is en het verspreidingsmechanisme verandert, moeten gebruikers voorzichtig zijn bij het openen van e-mails en documenten die door onbekende afzenders zijn verzonden en de AV up-to-date houden. Klanten van Quick Heal worden op meerdere detectieniveaus beschermd tegen dit soort aanvallen.

IoC’s:

  • WordProcessingML-bestanden: 1b265cbdfb47ef2675bbc19d7542aec3
  • DLL: dba397022561b196d000d81907f543d0
  • Domeinen: gehoorzamemanagement2016b.com, nephewboring2013b.com