bazarloader - RunkIntel

# BazarLoader > Tipo: **loader / backdoor** - S0534 - [MITRE ATT&CK](https://attack.mitre.org/software/S0534) > [!info] Elo Critico entre TrickBot e Conti - Substancialmente Inativo desde 2022 > O BazarLoader foi o loader pre-ransomware mais importante de 2020-2022, responsavel por preparar redes para implantação de [[ryuk-ransomware|Ryuk]] e [[s0575-conti-ransomware|Conti]]. Desenvolvido pelo [[g0102-conti-group|Wizard Spider]] como substituto mais furtivo do [[s0266-trickbot|TrickBot]], o Bazar usava dominios .bazar no Emercoin DNS como C2. Com o encerramento do Conti em 2022, o BazarLoader substancialmente perdeu relevância operacional. ## Visão Geral [[bazarloader|BazarLoader]] (também chamado BazarBackdoor, KEGTAP, Team9) e um downloader e backdoor desenvolvido pelo [[g0102-conti-group|Wizard Spider]] e ativo desde abril de 2020. Enquanto o [[s0266-trickbot|TrickBot]] era modular e relativamente ruidoso, o BazarLoader foi projetado para ser **minimalista e furtivo**: o loader e compacto, usa Emercoin DNS (`.bazar`) como infraestrutura C2 alternativa para dificultar bloqueio, e o backdoor executa apenas as funcionalidades necessárias para o estagio seguinte. O BazarLoader foi o pre-cursor direto da maioria dos incidentes de [[s0575-conti-ransomware|Conti]] e [[ryuk-ransomware|Ryuk]] em 2020-2022. A cadeia tipica era: **BazarCall phishing** -> BazarLoader -> [[s0154-cobalt-strike|Cobalt Strike]] -> Conti/Ryuk. O método de distribuição mais caracteristico foi o **BazarCall** (também chamado BazaCall): emails fingindo cobrar uma assinatura, com número de telefone para cancelar - ao ligar, a vitima era convencida a acessar um site e baixar um documento malicioso que instalava o BazarLoader. O BazarLoader utilizava **certificados de assinatura de código falsos** ([[t1553-002-code-signing|T1553.002]]) para parecer legitimo - os certificados tipicamente exibiam nomes de empresas fictícias como "VB CORPORATE PTY. LTD." A detecção era dificultada por mascaramento de nomes de arquivos (ex: shortcut "adobe") e tentativas de sobrecarregar sandboxes com 1550 chamadas a `printf` para esgotar tempo de análise ([[t1497-virtualizationsandbox-evasion|T1497]]). **Plataformas:** Windows ## Como Funciona O BazarLoader opera em dois componentes interligados: 1. **BazarLoader (KEGTAP):** Componente de entrega responsavel por baixar e executar o BazarBackdoor. Distribuido via link malicioso ([[t1566-002-spearphishing-link|T1566.002]]) em emails BazarCall. O loader se deleta após instalacao ([[t1070-004-file-deletion|T1070.004]]) 2. **BazarBackdoor (BEERBOT):** Backdoor persistente que estabelece C2 via dominios `.bazar` no Emercoin DNS, com canais de fallback ([[t1008-fallback-channels|T1008]]). Executa reconhecimento de dominio via `nltest` ([[t1482-domain-trust-discovery|T1482]]), coleta informações de sistema ([[t1082-system-information-discovery|T1082]]) e enumera arquivos na area de trabalho ([[t1083-file-and-directory-discovery|T1083]]) 3. **Deploy de Cobalt Strike:** BazarBackdoor baixa e injeta ([[t1105-ingress-tool-transfer|T1105]]) beacons do [[s0154-cobalt-strike|Cobalt Strike]] via Process Injection ([[t1055-process-injection|T1055]]) 4. **Entrega do ransomware:** Operadores manuais do [[g0102-conti-group|Wizard Spider]] usam Cobalt Strike para reconhecimento final e deploy do Conti/Ryuk em toda a rede ```mermaid graph TB A["BazarCall email Assinatura cancelada falsa Link Google Docs T1204.001"] --> B["Download documento malicioso Certificado falso T1553.002 Shortcut mascarado T1036.005"] B --> C["BazarLoader executa Se deleta T1070.004 BazarBackdoor instalado"] C --> D["C2 via Emercoin .bazar Fallback channels T1008 Reconhecimento AD T1482"] D --> E["Cobalt Strike deploy Process injection T1055 Operador manual assume"] E --> F["Reconhecimento extenso Domain trust T1482 Identificação servidores criticos"] F --> G["Conti / Ryuk deploy Big game hunting Criptografia de toda a rede"] classDef phishing fill:#e74c3c,color:#fff classDef download fill:#e67e22,color:#fff classDef loader fill:#8e44ad,color:#fff classDef c2 fill:#2980b9,color:#fff classDef cs fill:#27ae60,color:#fff classDef recon fill:#c0392b,color:#fff classDef ransomware fill:#2c3e50,color:#fff class A phishing class B download class C loader class D c2 class E cs class F recon class G ransomware ``` ## Timeline ```mermaid timeline title BazarLoader - Historico Abr 2020 : BazarLoader identificado pela primeira vez : Desenvolvido como alternativa furtiva ao TrickBot Out 2020 : Advisory FBI/CISA/HHS - BazarLoader + Ryuk em hospitais : Cadeia BazarCall estabelecida 2021 : BazarCall campanhas semanais - Hive0105 : TA551/Shathak distribui BazarLoader em larga escala : PrintNightmare CVE-2021-34527 via BazarLoader Ján 2022 : Conti leaks - papel do BazarLoader exposto Mai 2022 : Conti encerra - BazarLoader perde cliente principal 2022+ : Atividade drasticamente reduzida : Bumblebee emerge como substituto funcional ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Links Google Docs maliciosos | | Execution | [[t1204-001-malicious-link\|T1204.001]] | Clique do usuario em link | | Defense Evasion | [[t1553-002-code-signing\|T1553.002]] | Certificado falso de assinatura | | Defense Evasion | [[t1036-005-match-legitimate-name-or-location\|T1036.005]] | Mascaramento de nome de arquivo | | Defense Evasion | [[t1070-004-file-deletion\|T1070.004]] | Auto-delecao do loader | | Defense Evasion | [[t1497-virtualizationsandbox-evasion\|T1497]] | Sobrecarga de sandbox | | Discovery | [[t1482-domain-trust-discovery\|T1482]] | Domain Trust (nltest) | | Discovery | [[t1082-system-information-discovery\|T1082]] | System Information | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos desktop | | Collection | [[t1005-data-from-local-system\|T1005]] | Dados do sistema comprometido | | C2 | [[t1008-fallback-channels\|T1008]] | Fallback via Emercoin DNS | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download Cobalt Strike | | Lateral Movement | [[t1055-process-injection\|T1055]] | Process Injection | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Remoção de hooks de AV do ntdll | ## Relevância LATAM/Brasil O [[bazarloader|BazarLoader]] chegou ao Brasil como parte das campanhas de distribuição em escala do [[g0102-conti-group|Wizard Spider]] via parceiros como TA551/Shathak e Hive0106. O CERT.br documentou campanhas de BazarCall em portugues brasileiro, adaptando os temas de "assinatura a cancelar" para contextos locais (streaming, antivirus, softwares de produtividade). A relevância atual do BazarLoader e principalmente historica e forense: compreender o BazarLoader e essencial para entender a cadeia de ataque que levou ao [[s0575-conti-ransomware|Conti]], e o [[s1039-bumblebee|Bumblebee]] - seu sucessor funcional desenvolvido pelo mesmo grupo - continua ativo. Resposta a incidentes que identifiquem BazarLoader como indicador de compromisso devem tratar o incidente como potencial pre-cursor de ransomware de grande impacto. **Setores historicamente impactados:** [[healthcare|saúde]] - [[financial|financeiro]] - [[government|governo]] - [[technology|tecnologia]] ## Detecção - Detectar processos consultando dominios `.bazar` via DNS - indicador imediato de BazarBackdoor ativo - Monitorar criação de atalhos (`.lnk`) com nomes mascarados ("adobe", "teams") por processos de browser - Alertar para execução de `nltest /domain_trusts` por contas nao-administrativas - Verificar certificados de assinatura de código de executaveis antes de permitir execução ```sigma title: BazarLoader Bazar DNS Query status: stable logsource: category: dns product: windows detection: selection: dns.question.name|endswith: '.bazar' condition: selection level: high tags: - attack.command_and_control - attack.t1008 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0534) MITRE ATT&CK - S0534 Bazar (2024) - [2](https://archive.orkl.eu/4b3d38141984c38441499d65c78ab966ff22b57a.pdf) FBI/CISA/HHS - AA20-302A BazarLoader Healthcare Alert (2020) - [3](https://thedfirreport.com/2021/08/01/bazarcall-to-conti-ransomware-via-trickbot-and-cobalt-strike/) DFIR Report - BazarCall to Conti via Cobalt Strike (2021) - [4](https://www.ibm.com/think/x-force/trickbot-gang-doubles-down-enterprise-infection) IBM X-Force - TrickBot Gang BazarLoader Distribution (2021) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.bazarbackdoor) Malpedia - BazarBackdoor Family Details (2025)