BazaFlix

En ny angrebskampagne bruger dedikerede callcentre og en falsk streamingtjeneste til at bedrage intetanende brugere til at downloade beskadigede dokumenter, der bærer BazarLoader-malware-truslen. Denne særlige stil med angrebsoperationer opstod i starten af 2021. I det væsentlige er det en ny phishing-metode, som infosec-forskere udpegede som BazarCall.

Cyberkriminelle formidler spam-e-mail-beskeder, der hævder, at et ikke-eksisterende prøve- eller demo-abonnement er ved at udløbe, hvilket resulterer i betalingsomkostninger til brugerens kredit- / betalingskort. En bred vifte af tjenester er hidtil blevet misbrugt med tilsyneladende e-mails sendt af virksomheder inden for medicinsk, farmaceutisk, undertøj, blomster eller antivirus. Den seneste kampagne leverer dog beskeder, der angiveligt kommer fra en streamingtjeneste ved navn BravoMovies. Operationen blev opdaget af infosec-forskerne på Proofpoint, der spores den som BazaFlix.

BazaFlix detaljer

Lokkemad-e-mails holder sig til det samme mønster - de hævder, at brugerens prøve / demo-abonnement på BravoMovies, beskrevet i e-mails som en af de største streamingtjenester på planeten, er ved at udløbe, og et gebyr på $ 39,99 vil blive videresendt til leverede betalingskort automatisk til en premium-opgradering. For at annullere processen henviser e-mailen brugerne til at ringe til det leverede kundeservicenummer.

Dette vil forbinde den berørte bruger med et callcenter, der arbejder for hackerne. Telefonoperatøren vil derefter forsøge at få den opkalders tillid og øge legitimiteten af operationen ved at føre brugeren til et specielt udformet websted til den påståede 'BravoMovies' streaming- og tv-tjeneste fra et firma kaldet UrbanCinema. Hjemmesiden får officiel optræden gennem flere filmplakater, der kommer fra forskellige offentlige kilder, såsom et reklamebureau, Behance sociale medienetværk og bogen 'Sådan stjæles en hund'.

Blandt instruktionerne vil callcenteroperatøren bede de opkaldende om at downloade et Excel-dokument på deres computere. Denne bevæbnede fil indeholder beskadigede makroer, der i sidste ende vil slippe BazarLoader-malwareen på systemet. Selvom denne særlige trussel næsten udelukkende bruges som en leveringskøretøj til nyttelast i næste trin, har infosec-forskere ikke været i stand til at observere, at en sådan anden-trins malware leveres som en del af BazaFlix-angrebet.

TrickBot-forbindelse

BazarLoader deler betydelige kodeligheder med en ældre malware-trussel ved navn TrickBot Trojan. Cybersikkerhedsforskere mener med høj tillid, at TrcikBot-banden også er ansvarlig for oprettelsen af BazarLoader. Hacker-gruppen er ansvarlig for flere angreb mod virksomhedsmål, der involverede levering af ransomware såsom Ryuk Ransomware og Conti Ransomware til de kompromitterede systemer. BazarLoader blev brugt i angrebene som et værktøj til at droppe ransomware-nyttelastene. Det skal bemærkes, at callcentre muligvis ikke drives af den samme hackergruppe, der nødvendigvis udfører operationen. Det er fuldt ud muligt for callcentre at blive tilbudt som en tjeneste af en helt anden trusselsaktør.