BazarCall Malware
BazarCall Malware (lub BazaCall) to trojan specjalizujący się w dystrybucji trojanów wysokiego poziomu z tylnym wejściem i trojanów dostępu zdalnego (RAT), zwłaszcza w sieciach podmiotów korporacyjnych. Jego cyberprzestępcy wykorzystują taktykę call center, w tym wsparcie telefoniczne na żywo, do nakłaniania użytkowników do otwarcia uszkodzonego dokumentu Excela. Pracownicy powinni unikać numerów telefonów i witryn powiązanych z tą kampanią i uruchamiać wiarygodne oprogramowanie antywirusowe do usuwania złośliwego oprogramowania BazarCall lub powiązanych zagrożeń, takich jak BazarBackdoor.
Wezwanie, które może prowadzić tylko do sabotażu korporacyjnego
Chociaż trojany blokujące pliki i zaawansowane oprogramowanie szpiegujące są wysoce nieoczekiwanymi ładunkami w sieciach korporacyjnych, taktyki stosowane przez atakujących do ich wdrażania są elastyczne. Szczególnie nowatorski punkt strategicznej zmiany pochodzi z BazarCall Malware, z dowodami na jego istnienie od stycznia 2021 roku. Chociaż BazarCall Malware dostarcza wyrafinowane, ale tradycyjne zagrożenia, robi to za pomocą szeroko inwestującego biznesu czarnego kapelusza. '
Model biznesowy BazarCall Malware to pozorny schemat dystrybucji oprogramowania, który sprzedaje swoje usługi instalowania trojanów innym podmiotom zagrażającym. Z punktu widzenia ofiary atak zaczyna się, podobnie jak wiele innych, od wiadomości e-mail opartej na oszustwie. Tekst twierdzi, że okres próbny bezpłatnego oprogramowania zbliża się do daty wygaśnięcia, a ręczne anulowanie jest wymagane w celu uniknięcia jakichkolwiek opłat. E-mail nie zawiera załączonego pliku ani linku do strony internetowej, ale zamiast tego kieruje użytkowników do dzwonienia pod jeden z serii szybko zmieniających się numerów telefonów.
Numer prowadzi do fałszywego call center prowadzonego przez wyspecjalizowanych artystów zajmujących się taktyką, którzy pracują od poniedziałku do piątku. Atakujący weryfikują identyfikator e-mail (w celu uniknięcia przekonywania się do analityków bezpieczeństwa) przed przeniesieniem ofiary na stronę internetową do pobrania formularza anulowania - ukrytego mechanizmu pobierania oprogramowania BazarCall Malware, które uruchamia łańcuch infekcji.
Konflikt z trojanami niszczącymi korporacje
Pełne funkcje BazarCall Malware wymagają więcej analiz, a próbek brakuje ze względu na nowatorską taktykę dystrybucji. Jednak badacze złośliwego oprogramowania mogą potwierdzić, że działa on jako trojan downloader do zrzucania innych zagrożeń na system i pomagania atakującym w przejęciu sieci korporacyjnych. ładunek BazarCall Malware różni się w zależności od przypuszczalnych najemców stowarzyszonych, w tym BazarLoader (komponent ładujący dla BazarBackdoor ), spyware Trojan.TrickBot oraz trojana bankowego botnetu IcedID.
Bezpośredni wpływ infekcji BazarCall Malware obejmuje utratę haseł i innych danych uwierzytelniających, których atakujący mogą użyć do zabezpieczenia dostępu do sieci w celu długoterminowego szpiegostwa. Istnieje również znaczne ryzyko, że osoby atakujące wykorzystają trojany blokujące pliki w celu szyfrowania danych, takich jak dokumenty biznesowe i bazy danych. Szyfrowanie jest zwykle nieodwracalne ze wszystkich względów praktycznych.
Jak zwykle ofiary mogą odmówić włączenia makra Excela, które uruchamia funkcję drive-by-download, lub zatrzymać się w poprzednim punkcie taktyki. Ponieważ jednak taktyka centrum obsługi telefonicznej na żywo jest nowatorskim elementem infrastruktury dla aktora będącego zagrożeniem, raporty sugerują, że próby infekcji BazarCall Malware mają wysoki wskaźnik powodzenia. Użytkownicy powinni również zaktualizować swoje usługi anty-malware, aby bezpiecznie usunąć BazarCall Malware i jego ładujący się dokument.
BazarCall Malware to przerażająco dobrze przemyślana firma Black Hat, która zaspokaja potrzeby innych przestępców dzięki infrastrukturze, która otacza dostawców cyberbezpieczeństwa. Idealnie byłoby, gdyby pracownicy w zagrożonych sektorach poinformowali się o nowej taktyce, zanim odpowiedni e-mail dotrze do ich skrzynki odbiorczej.
