Bazarbackdoor è un malware, creato dai padri di Trickbot, e utilizzato nello stage iniziale di un'infezione per creare una porta di accesso remoto al device infettato.
Viene diffuso tramite phishing avente come oggetto dell'email una materia trend topic del momento.
Per evadere la detection da parte dei Security Email Gateway (SEG) viene utilizza la tecnica della compressione multipla.
In pratica il file originale viene compresso più volte in modo che quando il SEG lo decomprime si ritrova con un file, ancora compresso, che non riesce a identificare come malevolo.
La mail di phishing, una volta superato il SEG, viene inviato nella casella di posta elettronica della vittima ed è pronta per l'infezione.
Ad infezione avvenuta, il computer della vittima scarica un file dal C2, anche lui compresso più volte, avente estensione jpg, ma che in effetti è un .exe, il cui fine ultimo è quello di aprire una backdoor.
Bazarbackdoor una volta installato prova a muoversi lateralmente utilizzando CobaltStrike.

Tweet