BazarCall Malware
BazarCall Malware (o BazaCall) è un Trojan specializzato nella distribuzione di Trojan backdoor di alto livello e Trojan di accesso remoto (RAT) contro le reti di entità aziendali, in particolare. I suoi autori delle minacce utilizzano una tattica del call center, incluso il supporto telefonico dal vivo, per indurre gli utenti ad aprire un documento Excel danneggiato. I lavoratori dovrebbero evitare numeri di telefono e siti associati a questa campagna ed eseguire un affidabile anti-malware per rimuovere BazarCall Malware o minacce correlate come BazarBackdoor.
Una chiamata che può portare solo al sabotaggio aziendale
Sebbene i trojan con blocco dei file e lo spyware avanzato siano payload altamente sorprendenti contro le reti delle aziende, le tattiche utilizzate dagli aggressori per la loro implementazione sono flessibili. Un punto particolarmente nuovo del cambiamento strategico proviene da BazarCall Malware, con prove della sua esistenza dal gennaio 2021. Mentre BazarCall Malware fornisce minacce sofisticate ma tradizionali, il modo in cui lo fa è attraverso un business ad alto investimento e cappello nero. '
Il modello di business di BazarCall Malware è un apparente schema di distribuzione del software che vende i suoi servizi di installazione di Trojan ad altri attori delle minacce. Dal punto di vista della vittima, l'attacco inizia, come molti altri, con un messaggio di posta elettronica basato sulla frode. Il testo afferma che una prova gratuita del software si sta avvicinando alla data di scadenza, con l'annullamento manuale richiesto per evitare eventuali addebiti. L'e-mail non include un file allegato o un collegamento a un sito Web, ma indirizza gli utenti a chiamarne uno in una serie di numeri di telefono in rapida successione.
Il numero porta a un falso call center gestito da artisti tattici dedicati con una routine di lavoro professionale dal lunedì al venerdì. Gli aggressori verificano l'ID e-mail (per evitare di dare la mancia a sondare i ricercatori sulla sicurezza) prima di portare le vittime al download di un modulo di cancellazione da un sito Web, un meccanismo di download mascherato per BazarCall Malware, che avvia la catena di infezione.
Riagganciare i trojan aziendali
Le funzionalità complete di BazarCall Malware richiedono più analisi e i campioni scarseggiano a causa della sua nuova tattica di distribuzione. Tuttavia, i ricercatori di malware possono confermare il suo funzionamento come downloader di Trojan per lanciare altre minacce nel sistema e aiutare gli aggressori a prendere il controllo delle reti aziendali. il payload di BazarCall Malware varia a seconda dei presunti affittuari affiliati, tra cui BazarLoader (un componente di caricamento per BazarBackdoor ), lo spyware Trojan.TrickBot e il trojan bancario per botnet, IcedID.
L'impatto immediato di un'infezione da malware BazarCall include la perdita di password e altre credenziali che gli aggressori potrebbero utilizzare per proteggere l'accesso backdoor a una rete per lo spionaggio a lungo termine quasi certamente. Esiste inoltre un rischio sostanziale che gli aggressori utilizzino trojan file-locker per crittografare i dati, come i documenti e i database dell'azienda. La crittografia di solito è irreversibile per tutte le considerazioni pratiche.
Come al solito, le vittime possono rifiutarsi di abilitare la macro di Excel che attiva il drive-by-download o fermarsi a un punto precedente della tattica. Tuttavia, poiché una tattica di call center live è una nuova infrastruttura per un attore di minacce, i rapporti suggeriscono che i tentativi di infezione di BazarCall Malware hanno tassi di successo elevati. Gli utenti dovrebbero anche aggiornare i loro servizi anti-malware per rimuovere BazarCall Malware e il suo documento di caricamento in modo sicuro.
BazarCall Malware è un'azienda Black Hat spaventosamente ben congegnata che soddisfa le esigenze di altri criminali con un'infrastruttura che circonda i fornitori di sicurezza informatica. Idealmente, i lavoratori nei settori a rischio si informeranno sulla nuova tattica prima che l'e-mail pertinente arrivi nella loro casella di posta.
