駭侵者詐騙網站管理員，以含惡意 BazaLoader DDoS 軟體的工具清理網站

近來有駭侵者對多個網站管理員寄發詐騙訊息，假稱其網站程式碼內含有惡意 DDoS（分散式服務阻斷攻擊，Distributed Denial of Service） 程式碼，需用其特製工具清除，否則將對其提告；網站管理員如果不疑有他，利用此假工具清理其網站，就會被植入 BazaLoader DDoS 惡意軟體。

網站開發者 Brian Johnson 指出，他有兩名客戶在最近收到可疑的法律通知信，指稱其所營運的網站遭到駭侵者植入 DDoS 惡意軟體，並對 Intuit、Hubspot 等大型網路服務業者發動 DDoS 攻擊。該信件威脅網站營運者，若不在時限之內，利用信中隨附連結的清理工具，清除其網站內的惡意程式碼，就將面臨後續的司法控告。

該威脅信件中，還附有一個 Google 文件的連結；詐騙者指稱該連結內有目標網站發動 DDoS 攻擊的「證明」，以及指定採用的「清理程式」。

資安專家分析該「清理程式」，發現該清理程式內含一個名為 Bazaloader 的 DDoS 惡意軟體；收到威脅信件的網站管理者，如果真的安裝使用該程式，其網站伺服器反而會被植入 BazaLoader DDoS 惡意軟體，並且從駭侵者設立的控制伺服器中下載如 Cobalt Strike 之類的惡意軟體模組，成為其僵屍網路的一部分。

資安專家也說，除了以網站遭 DDoS 程式感染之外，這類駭侵者也會以其他的理由來詐騙網站管理者，例如假稱該網站內含有侵害著作權的影音或圖片等等，要求網站管理員以其工具進行侵權檔案掃瞄與移除，進而詐騙網站管理員下載安裝同樣的 BazaLoader DDoS 惡意軟體。

本文轉載自TWCERT/CC。