Das Hornetsecurity Security Lab hat eine schädliche E-Mail-Kampagne entdeckt, über die der Malware-Loader BazarLoader verbreitet wird. In dem Anschreiben der E-Mail wird dem Empfänger eine Kündigung ausgesprochen – als Begründung wird die Beschwerde eines Kunden benannt. Schließlich wird auf einen Link verwiesen, welcher ein Google Document aufruft. Von dort aus wird die ausführbare BazarLoader-Malware heruntergeladen.
BazarLoader ist ein neuer Malware-Loader, der einer Hackergruppe zugeschrieben wird, die auch mit der TrickBot-Malware in Verbindung steht. Der BazarLoader lädt die Bazar Backdoor herunter und installiert diese auf dem infizierten System. Diese Backdoor wird dazu verwendet, um sich durch das Netzwerk des Opfers zu bewegen und schließlich den Domain-Controller zu übernehmen. Abschließend befällt die berüchtigte Ransomware Ryuk sämtliche Dateien des Systems.
Mehr zu der Kampagne lesen Sie in der ausführlichen Analyse des Hornetsecurity Security Labs:
