研究人员揭露借由钓鱼邮件散布BazarBackdoor的攻击行动，骇客利用多重压缩档案来规避侦测

攻击者在利用钓鱼邮件散播恶意软件的过程中，为了避免遭到邮件防护系统的拦截，会使用电子邮件较为少见的档案格式来打包作案工具，像是光碟映像档格式ISO、IMG，压缩格式CAB，以及微软提供Windows部署的映像档格式WIM等。但除了在附件采用较特别的格式外，也有攻击者采取不同的作法，来规避邮件防护系统的检测。钓鱼邮件防护解决方案业者Cofense，在7月14日揭露散布恶意程式BazarBackdoor的钓鱼邮件攻击行动，攻击者为了让邮件安全闸道跳过检查附件内容的程序，他们竟将附件的档案以ZIP、RAR等格式打包数次来达到目的。

研究人员指出，多重打包的做法并非新手法，但攻击者借此绕过了邮件安全闸道的把关，并将钓鱼邮件传送到受害人的电子邮件信箱。他们举出其中一封钓鱼邮件的附件，来说明这波攻击中，骇客如何打包附件档案。

这封电子邮件是以7月7日举办环境日活动的名义为诱饵，并在信件内容表示，相关的介绍随附于附件。附件总共有2个压缩档案，分别是“Info.rar”和“Brief for colleaques.zip”。但Cofense分析后发现，这2个不同格式的压缩档，里面都包含了JavaScript档案，以及多个分割后的压缩档案。

针对JavaScript档案进行研究后，Cofense指出，这2个档案的内容皆采取高度混淆处理，来规避邮件安全闸道的解析。一旦触发之后，这些档案透过HTTP GET的连线，来下载以PNG为副档名的BazarBackdoor酬载，而将恶意酬载设置PNG副档名的用意，也是要躲过端点与网络防护系统的分析。

这个恶意酬载一旦下载到了受害电脑，便会在档案系统重新命名与移动。之后，前述的JavaScript档案便会触发它。

BazarBackdoor是一种木马程式，攻击者用它在受害电脑上建立据点，借此进一步植入其他恶意软件。研究人员认为这个木马程式的开发者，与Trickbot相同，因为两款恶意程式共用了多项模组化的酬载。不过，在这起事故中，攻击者究竟利用BazarBackdoor在受害电脑植入何种恶意程式？Cofense没有说明。