BazarLoader, también denominado BazaLoader, es un malware que crea una puerta trasera en los dispositivos infectados de Windows y que permite a los atacantes robar datos y credenciales así como lanzar otros ataques disruptivos que incluyen los de ransomware. Fue detectado por primera vez el pasado mes de febrero por los investigadores de Palo Alto Networks y, por lo general, el ataque comienza con correos electrónicos de phishing que informan a las potenciales víctimas de que ha expirado una suscripción de prueba que tenían y se les pasará a cobrar automáticamente una tarifa mensual a menos que llamen a un número para cancelar la prueba.
Un ejemplo de ello lo reportamos a principios del pasado mes de junio, cuando Proofpoint advirtió que BazaLoader estaba llevando a cabo una campaña en la que se apoyaba en una web falsa de streaming denominada "BravoMovies". Ese mismo mes, el equipo de inteligencia de amenazas de Microsoft informó que estaba rastreando "una campaña activa del malware 'BazaCall'" y ahora acaba de alertar de que en realidad es una amenaza más peligrosa de lo que se pensaba.
"Además de tener capacidades de puerta trasera, la carga útil de 'BazaLoader' de estas campañas también le da al atacante control remoto táctil sobre el dispositivo de un usuario afectado, lo que permite un rápido compromiso de la red", advierten los de Redmond.
Sigue un método que dificulta su detección y que implica interacción humana
Según resalta Microsoft, una de las razones de la peligrosidad de esta amenaza es que cada correo electrónico se envía desde un remitente diferente y no utiliza enlaces de phishing ni envía archivos maliciosos adjuntos, lo que dificulta su detección. En su lugar, los e-mails animan a los usuarios a llamar a un número de teléfono para cancelar su supuesta suscripción y, si deciden hacerlo, Microsoft señala que les atiende una persona real desde un centro de llamadas fraudulento creado por los operadores de BazarCall.
El operador les indica que visiten una web de apariencia legítima y que se descarguen un archivo Excel para anular su suscripción. Sin embargo, este documento contiene una macro maliciosa que, cuando es habilitada por los usuarios, provoca que el malware se descargue y se ejecute en el sistema.
"El control manual del teclado hace que esta amenaza sea más peligrosa y más evasiva"
Una vez que el malware está activo, los atacantes no solo pueden crear una puerta trasera en el dispositivo como se pensaba anteriormente. Según Microsoft, también les permite controlar de forma remota el sistema infectado.
"El control manual del teclado hace que esta amenaza sea más peligrosa y más evasiva que los ataques de malware automatizados tradicionales", advierte Microsoft, que indica que esto permite a los atacantes poder actuar mucho más rápido y de forma más efectiva. "Según nuestra observación, los ataques que emanan de la amenaza 'BazaCall' podrían moverse rápidamente dentro de una red, realizar una exfiltración extensa de datos y robo de credenciales, y distribuir ransomware dentro de las 48 horas posteriores al compromiso inicial", apunta.
Todo esto pone de manifiesto que nos encontramos ante una amenaza sumamente compleja por su forma de atacar y por el hecho de que incluya interacción humana, lo que puede generar más confianza entre sus potenciales víctimas. Además, hay indicios de que los atacantes de BazaCall se han aliado con los responsables de Ryuk, el ransomware que ha generado más de 150 millones de dólares en Bitcoin con sus ataques y que se cree fue el que afectó el SEPE el pasado mes de marzo.