BazarLoader
BazarLoader (parfois appelé BazaLoader) est un malware qui fournit un accès backdoor à un hôte Windows infecté. Une fois qu’un client est infecté, les criminels utilisent cet accès de porte dérobée pour envoyer des logiciels malveillants de suivi, analyser l’environnement et exploiter d’autres hôtes vulnérables sur le réseau.
Les autres noms utilisées : BEERBOT, KEGTAP, Team9Backdoor, bazaloader, bazarloader.
Qu’est-ce que BazarLoader ?
BazarLoader est un malware qui s’attaque aux entreprises afin de les pénétrer.
Ensuite il charge différents malwares comme Cobalt Strike pour voler des données et s’étendre sur le réseau.
Le but final est de charger un ransomware tel que Conti, Ruyk ou Revil/Sodinokibi.
Ave ZLoader, BazarLoader continue d’être l’un des principaux d’accès initial pour l’accès des acteurs de la menace des ransomwares. Pour cette intrusion, nous ne connaissons pas la campagne initiale qui a déployé le malware, mais sur la base des informations précédentes, nous pouvons évaluer avec une grande confiance que le vecteur de diffusion était une campagne d’e-mail malveillante. Au moment de l’intrusion, le groupe privilégiait les pièces jointes zip avec des fichiers javascript malveillants pour télécharger le malware BazarLoader. Cependant, BazarLoader a également été utilisé avec des documents Word et Excel.
Dans ce cas, nous avons observé l’activité initiale commençant par une DLL BazarLoader. Lors de l’exécution initiale sur la tête de pont, le malware a établi une première connexion au commandement et au contrôle, puis quelques minutes plus tard, il a effectué des tâches de découverte sur l’hôte à l’aide d’utilitaires Microsoft tels que Net et Nltest pour découvrir le domaine et les utilisateurs d’intérêt. comme les administrateurs de domaine. Après cette activité, l’hôte est resté silencieux pendant environ une heure avant de télécharger et d’exécuter une DLL de balise Cobalt Strike.
Enfin Cobalt Strike se charge ensuite de déployer le ransomware Conti.
A noter une autre méthode nommée BazarCall.
L’entreprise reçoit des mails ciblées demandant à rappeler un numéro de téléphone sous divers prétextes, souvent pour des raisons techniques.
Si l’utilisateur appelle, le cybercriminel au bout se fait passer pour un technicien qui fait télécharger et exécuter le malware sur le PC.
Il s’agit ici de porte d’entrée au réseau de l’entreprise.
- Un e-mail sur le thème de l’abonnement d’essai avec un numéro de téléphone vers un centre d’appels pour obtenir de l’aide.
- La victime appelle le numéro de téléphone de l’e-mail.
- L’opérateur du centre d’appels guide la victime vers un faux site Web d’entreprise.
- La victime télécharge un fichier Microsoft Excel à partir du site Web.
- L’opérateur du centre d’appels demande à la victime d’activer les macros sur le fichier Excel téléchargé.
- L’ordinateur Windows vulnérable est infecté par le malware BazarLoader.
- L’opérateur du centre d’appels informe alors la victime que le désabonnement est réussi.
- BazarLoader génère un trafic de commande et de contrôle (C2) à partir de l’hôte Windows infecté.
- L’accès par la porte dérobée via BazarLoader conduit à des activités post-infection.
| Type de menace | Trojan / Cheval de troie |
| Famille de menace | BazarLoader |
| Détections de la menace | Trojan:Win32/Bazarldr (Microsoft) Trojan:Win64/Bazar (Microsoft) Trojan.Bazar (Malwarebytes) W64/Bazar BackDoor.Bazar Trojan/Win64.BazarLoader |
| Fonctionnalité supposée | Connu pour télécharger et installer Trickbot et Ransom.Conti mais peut installer d’autres menaces |
| Symptômes | Aucun symptôme en particulier, le malware tente de se rendre discret Mais il peut mettre en place d’autre malware. |
| Dommage sur le système | Voler des données et installer un ransomware ce qui va rendre les données inaccessible. Un Trojan-Spy.Stealer qui va voler les données du PC |
Comment supprimer BazarLoader ?
Supprimer BazarLoader avec MBAM
- Téléchargez puis installez Malwarebytes Anti-Malware
- Laissez vous guider pour effectuer les premières configurations
- Ensuite Lancez une analyse rapide en cliquant sur le bouton Analyser
- A l’issu du scan, supprimez toutes les menaces détectées
- Enfin redémarrez votre PC si MBAM le demande
Malwarebytes Anti-Malware en vidéo :
Supprimer BazarLoader avec RogueKiller
- Téléchargez puis installez RogueKiller
- Lancez une analyse antivirus du PC en cliquant sur le bouton Analyser
- Laissez le scan s’effectuer, cela va prendre du temps
- Enfin supprimer toutes les menaces détectées
Supprimer BazarLoader avec NOD32
- Téléchargez puis exécutez esetonelinescanner.exe
- Puis laissez vous guider pour effectuer l’analyse en ligne puis activez la détection des PUA (Application potentiellement indésirable)
- Puis l’analyse de NOD32 s’effectue, là aussi, cela va prendre beaucoup de temps, patientez
- Enfin placez tous les éléments détectés en quarantaine
Scan NOD32 en vidéo :
Besoin d’aide personnalisée ?
Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus
Comment protéger son PC des virus
Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes Anti-Malware pour effectuer des analyses régulières.
Supprimer AdwCleaner et ZHPCleaner, il ne sert à rien de les garder pour des analyses régulières.
Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).
Voici quelques conseils afin de sécuriser votre ordinateur et éviter les logiciels malveillants.
Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur et protéger son PC des virus.