A mediados del mes de marzo, el número de ataques de fuerza bruta contra las conexiones RDP se disparó. Estos ataques tenían el objetivo de aprovecharse del aumento repentino de trabajadores en remoto para intentar hacerse con el control de los equipos corporativos. Explotar de esta manera la pandemia actual del COVID-19 es solo una de las maneras que tienen los cibercriminales para intentar ganar acceso a los sistemas informáticos de las empresas.
BazarBackdoor: el nuevo malware de los operadores de TrickBot
Algo que facilitaba los ataques de fuerza bruta a las conexiones RDP era una nueva capacidad del notorio troyano TrickBot. Ahora parece que los desarrolladores de TrickBot tienen un nuevo truco. Investigadores de ciberseguridad han descubierto una nueva campaña de phishing que entrega un backdoor sigiloso, llamado BazarBackdoor, utilizado para comprometer y ganar acceso completo a las redes corporativas.
Como el 91% de los ciberataques, este empieza con un email de phishing. Para personalizar los emails, se emplea una gran variedad de asuntos: quejas de clientes, informes de nómina con temática de coronavirus o listados de empleados despedidos. Todos estos contienen enlaces a documentos alojados en Google Docs. Para enviar los emails maliciosos, los cibercriminales emplean la plataforma de marketing Sendgrid.
Esta campaña emplea el spear phishing, con lo cual, los autores de estos ataques se han esforzado para que las webs que se envían con los emails parezcan legítimas y correspondan a las temáticas de los emails.
Documentos maliciosos
El siguiente paso en la campaña de BazarBackdoor es conseguir que la víctima descargue el documento. La web se hace pasar por un documento de Word, Excel o un PDF que no se puede ver correctamente y que el usuario debe descargar para poder leerlo.
Cuando la víctima hace clic en el enlace, se descarga un ejecutable que utiliza un icono y un nombre asociado con el tipo de documento que aparece en la web. Por ejemplo, “COVID-19 ACH Payroll Report” descargará un documento llamado PreviewReporte.DOC.exe. Ya que Windows no muestra las extensiones de archivos por defecto, la mayoría de los usuarios solo verán PreviewReport.DOC y lo abrirán, creyendo que es un documento legítimo.
El ejecutable escondido en este documento malicioso es el cargador para el backdoor BazarBackdoor. Cuando el usuario lanza el documento malicioso, el cargador se mantiene escondido durante un breve periodo antes de conectar a un servidor C&C para descargar BazarBackdoor.
Parecidos de BazarBackdoor con TrickBot
BazarBackdoor es un malware que tiene como objetivo el sector empresarial. Los investigadores de ciberseguridad creen que es muy probable que el mismo grupo que desarrolló el troyano TrickBot también ha desarrollado este backdoor; ambos malware comparten partes del mismo código, además del método de entrega y cómo se utiliza.
Los peligros de los backdoors
En cualquier ataque avanzado, ya sea el ransomware, el espionaje industrial o la exfiltración de los datos corporativos, tener este tipo acceso es imprescindible. Si un cibercriminal consigue instalar BazarBackdoor en un sistema informático de una empresa, puede suponer un peligro muy grave y, dado el volumen de emails que se están mandando con este backdoor, es una amenaza muy extendida.
No dejes que BazarBackdoor amenace a tu empresa
Como hemos visto, BazarBackdoor puede ser la puerta de entrada para un amplio rango de técnicas de cibercriminalidad. Por este motivo, es vital que las empresas se blinden para evitar que amenazas de este tipo puedan causar daños.
El primer paso para protegerse de muchas de las principales ciberamenazas es vigilar los correos electrónicos que se reciben. En este paso, los empleados juegan un papel imprescindible: tienen que ser conscientes de la importancia de no abrir emails sospechosos, no hacer clic en enlaces en estos emails y, sobre todo, no descargar archivos adjuntos de remitentes desconocidos. En el caso de BazarBackdoor, los empleados deben tener cuidado con los emails que reciben de sendgrid.net.