Útočníci zneužívají Basecamp pro hosting malwaru

Útočníci si oblíbili Basecamp pro škodlivé phishingové kampaně. Přes tuto platformu distribuující malware a šíří škodlivé nástroje.

Basecamp je rozšířená webová platforma pro správu a řízení projektů, která umožňuje vzájemnou spolupráci, chatování nebo vytváření a sdílení různých dokumentů a souborů. Sdílené dokumenty mohou obsahovat různé linky, obrázky a podobně. Basecamp dovoluje k projektům připojit jakýkoliv typ souboru včetně těch, které jsou obvykle považovány za rizikové a nebezpečné – tedy lze sem umístit spustitelné soubory, JavaScripty a podobně. Tyto soubory lze prostřednictvím veřejného odkazu sdílet i s ostatními. Ti je pak mohou přes odkaz prohlížet nebo stáhnout.

Basecamp nabízí bezplatnou licenci, takže jej mohou uživatelé využívat zdarma pro hosting a distribuci jakéhokoliv typu souborů. Toto právě začali ve velkém zneužívat kybernetičtí zločinci.

Bezpečnostní experti z MalwareHunterTeam zjistili, že je tímto způsobem šířen například trojan BazarLoader. Jde o backdoor, za kterým stojí skupina TrickBot. Nejčastěji se používá k útokům na vysoce profilové cíle a kompromitaci jejích sítí, kam umístí ransomware.

Zneužívání služeb, jako je Basecamp, je na vzestupu, jelikož tyto stránky vzbuzují v uživatelích pocit důvěry a mají dojem, že je bezpečné otevírat soubory, které se zde nacházejí. Útočníci se mohou pomocí adres generovaných Basecampem úspěšně infiltrovat do sítě, protože uživatelé tyto odkazy často považují za normální součást svých projektů. Navíc je Basecamp považován za důvěryhodnou službu, takže jej bezpečnostní řešení nedetekují jako hrozbu. Tyto techniky je obtížné rozpoznat jako hrozbu i pro analytiky služeb SOC, protože provoz do/z těchto služeb se jeví jako legitimní.

Platformy, jako je Basecamp, také zachovávají anonymitu svých uživatelů a lze je nastavit prakticky okamžitě bez speciálních znalostí nebo dovedností.

Je proto nezbytné zůstat obezřetný v případě jakýchkoliv sdílených odkazů nebo požadavků na stahování souborů bez ohledu na to, odkud pocházejí.

Zdroj: The Hacker News