Cyberthreat.id – Masih ingat dengan perangkat lunak jahat (malware) “BazarLoader”?

Jika lupa, mari kami ingatkan kembali. BazarLoader memiliki banyak nama alias seperti alias “BazarBackdoor”, “BazarLoader”, “BEERBOT”, “KEGTAP”, dan “Team9Backdoor”.

Malware tersebut berupa “trojan” backdoor yang tersembunyi dan biasa digunakan untuk meretas jaringan target bernilai tinggi. Setelah itu, operator di balik serangan akan menjual akses peretasan ke penjahat siber lainnya.

Malware tersebut juga dipakai untuk memuat jenis malware lain, bahkan ransomware.

Baru-baru ini, Bazarloader terlihat menyaru sebagai installer aplikasi Windows 10. Operasi serangan ini dilakukan oleh geng peretas TrickBot, demikian dikutip dari BleepingComputer, diakses Jumat (12 November 2021).

Penyebaran malware tersebut ditemukan oleh peneliti utama SophosLabs, Andrew Brandt, dalam sebuah email spam yang berisi nada ancaman. Pengirim email tersebut menyamar sebagai manajer perusahaan yang meminta info lebih lanjut tentang komplain pelanggan kepada penerima email.

"Para penyerang menggunakan dua alamat web yang berbeda untuk meng-hosting halaman 'download PDF' palsu," kata Brandt.

"Kedua halaman di-host di penyimpanan cloud Microsoft, yang mungkin memberikan kesan keaslian, sedangkan file .appinstaller dan .appbundle di-host di root penyimpanan setiap halaman web."

Microsoft pada 4 November lalu telah menghapus halaman yang digunakan oleh penyerang untuk meng-host file berbahaya setelah diberitahu oleh Sophos.

Namun, alih-alih menunjuk ke dokumen PDF, tombol "Pratinjau PDF" di situs pendaratan phishing membuka URL dengan awalan ms-appinstaller.

Saat mengklik tombol, browser pertama-tama akan menampilkan peringatan yang menanyakan korban apakah mereka ingin mengizinkan situs untuk membuka App Installer. Namun, kebanyakan orang mungkin akan mengabaikannya saat melihat domain adobeview.*.*.web.core.windows.net di bilah alamat.

Dengan klik "Buka" dalam dialog peringatan akan meluncurkan Microsoft App Installer—aplikasi bawaan sejak rilis Windows 10 versi 1607 pada Agustus 2016—untuk menyebarkan malware pada perangkat korban dalam bentuk Adobe PDF Component palsu, yang dikirimkan sebagai bundel aplikasi AppX.

Setelah diluncurkan, App Installer mulai mengunduh file .appinstaller berbahaya milik penyerang dan file .appxbundle tertaut yang berisi muatan akhir bernama Security.exe yang bersarang di dalam subfolder UpdateFix.

Setelah disebarkan pada perangkat yang terinfeksi, BazarLoader akan mulai mengumpulkan informasi sistem (misalnya, hard disk, prosesor, motherboard, RAM, host aktif di jaringan lokal dengan alamat IP yang dapat diakses publik).

Informasi ini dikirim ke server perintah-dan-kontrol, disamarkan sebagai cookie yang dikirimkan melalui header HTTPS GET atau POST.

Sophos mengunggah indikator peretasan (IoC) terkait operasi BazarLoader tersebut, termasuk hash sampel malware, server perintah-dan-kontrol, dan URL sumber, di halaman Github SophosLabs.[]