BazarBackdoor通过嵌套压缩包(RAR和ZIP)传播

安全研究人员发现了一个新的网络钓鱼活动，该活动试图通过使用多重压缩技术，并将其伪装成图像文件来传播BazarBackdoor恶意软件。

利用多重压缩或嵌套压缩包来传播恶意软件的方法并不新奇，由于该技术可以欺骗电子邮件安全网关将恶意附件错误标记为干净，而变得越来越流行。

它通过将一个压缩文件放置在另一个压缩文件中，来绕过一些电子邮件安全网关 (SEG)，这些网关可以限制他们检查压缩文件的深度。

近期发现的BazarBackdoor恶意软件活动，向企业用户发送以“环境日”为主题的钓鱼邮件：

附件中嵌套的ZIP和RAR压缩文档都包含一个JavaScript文件，该文件最终将释放Trickbot的BazarBackdoor恶意软件，该后门通常用于针对企业目标的攻击活动中，以为攻击者提供远程访问。

通过分析，研究人员发现高度混淆的JavaScript文件的作用是下载带有图像扩展名的有效载荷。

研究人员表明：“攻击者有意嵌套各种类型的压缩文件，因为它有可能达到电子邮件安全网关的解压限制，或者因为未知的压缩类型而失败。“

一旦执行，混淆后的JavaScript将通过HTTP GET 接下载带有.png 扩展名的BazarBackdoor有效载荷。成功部署在受害者主机上后，BazarBackdoor可能会下载Cobalt Strike并执行。

在获得网络上高价值系统的访问权限后，攻击者可以发起勒索软件攻击、窃取敏感信息或将访问权限出售给其他网络犯罪分子。