BazarCall恶意软件

BazarCall恶意软件（或BazaCall）是一种特洛伊木马，专门用于针对公司实体的网络分发高级后门特洛伊木马和远程访问特洛伊木马（RAT）。它的威胁参与者使用呼叫中心策略（包括实时电话支持）来诱骗用户打开损坏的Excel文档。员工应避免使用与此活动相关的电话号码和站点，并运行值得信赖的反恶意软件来删除BazarCall恶意软件或相关威胁，例如BazarBackdoor。

只会导致公司破坏的电话

尽管文件锁定特洛伊木马和高级间谍软件是针对公司网络的毫无疑问的有效载荷，但攻击者用于部署的策略却很灵活。 BazarCall恶意软件是该战略转变的一个特别新颖的点，有证据表明BazarCall恶意软件自2021年1月以来就已经存在。尽管BazarCall恶意软件提供了复杂而传统的威胁，但它的实现方式是通过大量投资，"黑帽"业务。 '

BazarCall恶意软件的商业模式是一种明显的软件分发方案，该方案将其特洛伊木马程序安装服务出售给其他威胁行为者。从受害者的角度来看，与许多其他攻击一样，攻击是从基于欺诈的电子邮件开始的。文本声称免费软件试用版已接近到期日期，为防止产生任何费用，需要手动取消。该电子邮件不包含附件或网站链接，而是引导用户拨打一系列快速循环的电话号码。

该号码会导致由专门的战术艺术家管理的虚假呼叫中心，并在周一至周五提供专业的工作程序。攻击者在将受害者带到网站上下载取消表格之前，先验证了电子邮件ID（为避免对安全研究人员进行探测），这是一种伪装的BazarCall恶意软件下载机制，从感染链开始。

挂断企业破坏型木马

BazarCall恶意软件的全部功能需要更多的分析，并且由于其新颖的分发策略，因此样品短缺。但是，恶意软件研究人员可以确认其作为Trojan下载程序的功能，可以将其他威胁丢弃到系统上，并帮助攻击者接管公司网络。 BazarCall恶意软件的有效负载随假定的会员租赁者而变化，包括BazarLoader（用于BazarBackdoor的加载组件），Trojan.TrickBot间谍软件以及僵尸网络银行Trojan，IcedID。

BazarCall恶意软件感染的直接影响包括密码和其他凭据的丢失，攻击者几乎可以肯定，密码和其他凭据可以用来保护对网络的后门访问，以进行长期间谍活动。攻击者还存在很大的风险，即部署文件锁特洛伊木马来加密数据，例如公司的文档和数据库。出于所有实际考虑，加密通常是不可逆的。

像往常一样，受害者可以拒绝启用Excel宏，该宏触发下载驱动器或在战术的前一点停止。但是，由于实时呼叫中心策略是威胁参与者的一种新颖的基础结构，因此报告表明，BazarCall恶意软件感染尝试具有很高的成功率。用户还应该更新其反恶意软件服务，以安全删除BazarCall恶意软件及其加载文档。

BazarCall恶意软件是一个经过深思熟虑的黑帽企业，它利用围绕网络安全供应商的基础架构来满足其他罪犯的需求。理想情况下，处于高风险行业的员工会在相关电子邮件到达收件箱之前通知自己有关新策略的信息。