BazaLoader恶意程式瞒过微软，利用Office 365、OneDrive做为攻击平台

BazaLoader/Bazarloader过去主要借由钓鱼信件散布，研究人员发现近日后门程式BazaLoade的活动，攻击者竟然利用微软Office 365及OneDrive等服务来助长散播。

一个代号TheAnalyst、自称网络安全专业人士的用户上周发现后门程式BazaLoader的恶意活动，而追踪之下发现骇客将恶意ISO档代管在OneDrive上。这个ISO档包括DLL及LNK档，在用户电脑上执行时，电脑上的端点防护产品可能无法侦测到。

图片来源_TheAnalyst

该研究人员指出，BazarLoader可能引发勒索软件，包括连医疗院所也不放过的Conti。他问微软明知道其服务代管了数百个可能导致危害的档案连结，而且超过3天，难道微软对此不需负一点责任吗？

2010年到今年初曾在微软待过的安全专家Kevin Beaumont指出一个吊诡之处。微软建立Bazarloader警告流程通知Google Drive，以便后者可以快速移除恶意档案。然而当Bazarloader转移到微软Office平台上，微软却无法将之移除。

他认为微软若无法防止Office 365平台被滥用来发动Conti等程式，就不应该自称是安全领导者。他还说OneDrive遭滥用情况已经很多年，微软必须彻底检讨这个问题。

微软对此尚未有公开说法，不过Beaumont指出微软已经在本周一，从数百个恶意网站中移除了3个Bazarloader下载网站。

知名服务因有众多用户及知名度，不但成为骇客的主要目标，一般人也会降低警戒心而扩大感染范围。不只是OneDrive，Google Drive、Bitbucket都曾被恶意人士用来散布恶意程式。一项调查指出微软、Google及苹果是三个最常被用来散布钓鱼信件的云端服务。