O malware furtivo BazarBackdoor agora está sendo espalhado por meio de formulários de contato, em vez de típicos e-mails de phishing para evitar a detecção por softwares de segurança. O BazarBackdoor é um malware furtivo criado pelo grupo TrickBot e agora está em desenvolvimento pelo grupo ransomware Conti.

Esse malware fornece aos agentes de ameaças acesso remoto a um dispositivo interno que pode ser usado como uma plataforma de lançamento para movimentos laterais adicionais dentro de uma rede.

Em um novo relatório da Abnormal Security, os analistas explicam que uma nova campanha de distribuição iniciada em dezembro de 2021 tem como alvo vítimas corporativas, com o provável objetivo de implantar o Cobalt Strike ou cargas úteis de ransomware.

Em vez de enviar e-mails de phishing para os alvos, os agentes de ameaças primeiro usam formulários de contato corporativo para iniciar a comunicação. Em um dos casos, os agentes da ameaça se passaram por funcionários de uma construtora canadense que enviou uma solicitação de cotação de fornecimento de produto.

Depois que o funcionário responde o e-mail de phishing, os invasores enviam de volta um arquivo ISO malicioso supostamente relevante para a negociação.