BazarCall Malware
BazarCall Malware (eller BazaCall) är en trojan som specialiserat sig på att distribuera bakdörrtrojaner på hög nivå och fjärråtkomsttrojaner (RAT) mot företagens nätverk, särskilt. Dess hotaktörer använder en callcenter-taktik, inklusive live-telefonsupport, för att lura användare att öppna ett korrupt Excel-dokument. Arbetare bör undvika telefonnummer och webbplatser som är associerade med den här kampanjen och köra pålitliga anti-malware för att ta bort BazarCall Malware eller relaterade hot som BazarBackdoor.
Ett samtal som bara kan leda till företagssabotage
Trots att fillåsande trojaner och avancerad spionprogram är mycket överraskande nyttolast mot företagens nätverk, är den taktik som angriparna använder för deras distribution flexibel. En särskilt ny punkt i det strategiska skiftet kommer från BazarCall Malware, med bevis för dess existens sedan januari 2021. Medan BazarCall Malware levererar sofistikerade men traditionella hot, är det genom en höginvesterad svart hattaffär. ''
BazarCall Malwares affärsmodell är ett uppenbart programvarudistributionssystem som säljer sina Trojan-installationstjänster till andra hotaktörer. Ur offerets synvinkel börjar attacken, som många andra, med ett bedrägeribaserat e-postmeddelande. Texten hävdar att en gratis programvaruversion är nära sitt utgångsdatum, med manuell avbokning krävs för att förhindra eventuella avgifter. E-postmeddelandet innehåller inte en bifogad fil eller webbplatslänk utan styr istället användare att ringa en i en serie snabbt cyklande telefonnummer.
Siffran leder till ett falskt callcenter som drivs av dedikerade taktikartister med en professionell arbetsrutin från måndag till fredag. Angriparna verifierar e-post-ID: t (för att undvika att tippa sonderande säkerhetsforskare) innan de tar offren till en webbplats nedladdning av ett avbokningsformulär - en förklädd nedladdningsmekanism för BazarCall Malware, som startar från infektionskedjan.
Hanging on Corporate-Rampaging Trojans
BazarCall Malwares fullständiga funktioner kräver mer analys, och prover är bristfälliga på grund av dess nya distributionstaktik. Men malware-forskare kan bekräfta att det fungerar som en Trojan-nedladdare för att släppa andra hot på systemet och hjälpa angripare att ta över företagsnätverk. BazarCall Malwares nyttolast varierar med de förmodade anslutna hyresgästerna, inklusive BazarLoader (en laddningskomponent för BazarBackdoor ), Trojan.TrickBot-spionprogram och botnetbank Trojan, IcedID.
Den omedelbara effekten av en BazarCall Malware-infektion inkluderar förlust av lösenord och andra referenser som angripare nästan säkert kan använda för att säkra bakdörråtkomst till ett nätverk för långvarig spionage. Det finns också en betydande risk för att angriparna använder Trojaner för fil-locker för att kryptera data, till exempel företagets dokument och databaser. Kryptering är vanligtvis oåterkallelig av alla praktiska överväganden.
Som vanligt kan offren vägra att aktivera Excel-makrot som utlöser drive-by-download eller stoppa vid en tidigare punkt i taktiken. Men eftersom en live call center-taktik är en ny infrastruktur för en hotaktör, tyder rapporter på att BazarCall-infektionsförsök med Malware har höga framgångsnivåer. Användare bör också uppdatera sina tjänster mot skadlig kod för att ta bort BazarCall Malware och dess laddningsdokument på ett säkert sätt.
BazarCall Malware är en skrämmande genomtänkt Black Hat-verksamhet som tjänar andra brottslingars behov med infrastruktur som skjuter runt leverantörer av cybersäkerhet. Helst kommer arbetare i riskbranscher att informera sig om den nya taktiken innan det relevanta e-postmeddelandet kommer till sin inkorg.
