网络攻击者使用Slack和BaseCamp

根据Sophos的研究人员的说法，在发现的第一个攻击活动中，攻击者正在针对大型组织的员工进行攻击，电子邮件内容称会提供与合同、客户服务、发票或工资单有关的重要信息。

Sophos称，"一个垃圾邮件样本甚至会试图伪装成员工被裁的通知"。

邮件内的链接托管在Slack或BaseCamp云存储服务器上，这意味着如果目标在使用这些平台进行工作，它们就会看起来是合法的。在这个远程办公的时代，员工被攻击的几率是很大的。

研究人员说："攻击者在文档正文中会突出显示指向这些合法网站的URL，这样会很容易使用户信以为真，然后，该URL可能会通过使用短链接服务做进一步的处理，使这个指向带有.EXE扩展名的文件的链接不引人怀疑。"

如果目标点击了链接，BazarLoader就会下载并在受害者的机器上执行。这些链接通常会直接指向到一个带有数字签名的可执行文件，其图标为Adobe PDF图形。研究人员指出，恶意文件的名称通常为presentation-document.exe、preview-document-[number].exe或annualreport.exe。

这些可执行文件在运行时，会将一个DLL有效载荷注入到一个合法进程中，比如Windows的powershell，cmd.exe等。

研究人员解释说："该恶意软件只会在内存中运行，无法被终端上的保护工具在对文件系统的扫描时检测到，因为它从未被写入到文件系统中，文件本身甚至会不使用合法的.DLL文件后缀，因为不管它们是否有后缀;操作系统都会运行这些文件。"

BazarCall 攻击活动

在第二次攻击活动中，Sophos发现这些垃圾邮件没有任何可疑之处：邮件正文中没有提到任何形式的个人信息，也没有链接和文件附件。

研究人员解释说："所有的内容都会声称收件人目前正在使用的网络服务的免费试用期将在接下来的一两天内到期，并在邮件中嵌入了一个收件人需要拨打的电话号码，用户可以选择是否继续进行续费"

如果目标决定拨打电话，另一边的客服会给他们一个网站地址，声称受害者可以在那里取消该服务的订阅。

根据Sophos的说法，这些设计精美、外观很正式的网站在常见问题的页面中设置了一个退订按钮，点击该按钮网站就会提供一个恶意的Office文档(Word文档或Excel电子表格)，打开后会用同样的BazarLoader恶意软件感染用户的计算机。

这些信息声称是来自一家名为 "医疗提醒服务"(Medical Reminder Service)的公司，并在信息的正文中包含了一个电话号码，和一个位于洛杉矶的办公楼的街道地址。但在4月中旬，一个名为BookPoint的虚假的在线付费借阅图书馆也在使用这些信息进行攻击。

在BookPoint的攻击中还使用了一串长长的数字代码，要求用户输入该数字代码就可以 "取消订阅"。

就感染的套路而言，这些所谓的 "BazarCall "攻击活动中的攻击者都会使用恶意的微软Office文档，这些文档会使用命令来投放和执行一个或多个DLL有效载荷。