बाजाफ्लिक्स
एक नया आक्रमण अभियान समर्पित कॉल सेंटरों और नकली स्ट्रीमिंग सेवा का उपयोग करता है ताकि अनजान उपयोगकर्ताओं को बाज़ार लोडर मैलवेयर खतरे वाले दूषित दस्तावेज़ों को डाउनलोड करने में धोखा दिया जा सके। हमले के संचालन की यह विशेष शैली 2021 की शुरुआत में उभरी। संक्षेप में, यह एक नई फ़िशिंग विधि है जिसे इन्फोसेक शोधकर्ताओं ने BazarCall के रूप में नामित किया है।
साइबर अपराधी यह दावा करते हुए स्पैम ईमेल संदेशों का प्रसार करते हैं कि एक गैर-मौजूद परीक्षण या डेमो सदस्यता समाप्त होने वाली है जिसके परिणामस्वरूप उपयोगकर्ता के क्रेडिट/डेबिट कार्ड पर भुगतान शुल्क लगता है। चिकित्सा, दवा, अधोवस्त्र, फूल, या एंटी-वायरस क्षेत्रों में कंपनियों द्वारा भेजे गए ईमेल के साथ अब तक सेवाओं की एक विस्तृत श्रृंखला का दुरुपयोग किया गया है। हालाँकि, नवीनतम अभियान उन संदेशों को वितरित करता है जो माना जाता है कि BravoMovies नामक एक स्ट्रीमिंग सेवा से आ रहे हैं। ऑपरेशन की खोज प्रूफपॉइंट के इन्फोसेक शोधकर्ताओं ने की थी जिसने इसे बाजाफ्लिक्स के रूप में ट्रैक किया था।
बाजाफ्लिक्स विवरण
बैट ईमेल उसी पैटर्न से चिपके रहते हैं - उनका दावा है कि ब्रावोमूवीज़ के लिए उपयोगकर्ता का ट्रायल/डेमो सब्सक्रिप्शन, जिसे ईमेल में ग्रह पर प्रमुख स्ट्रीमिंग सेवाओं में से एक के रूप में वर्णित किया गया है, समाप्त होने वाला है और $ 39.99 का शुल्क अग्रेषित किया जाएगा। प्रीमियम टियर अपग्रेड के लिए स्वचालित रूप से भुगतान कार्ड प्रदान किया। प्रक्रिया को रद्द करने के लिए, ईमेल उपयोगकर्ताओं को प्रदान किए गए ग्राहक सेवा फोन नंबर पर कॉल करने के लिए निर्देशित करता है।
ऐसा करने से प्रभावित यूजर हैकर्स के लिए काम करने वाले कॉल सेंटर से जुड़ जाएगा। फोन ऑपरेटर तब कॉल करने वाले का विश्वास हासिल करने की कोशिश करेगा और उपयोगकर्ता को अर्बनसिनेमा नामक कंपनी से कथित 'ब्रावोमूवीज' स्ट्रीमिंग और टीवी सेवा के लिए विशेष रूप से तैयार की गई वेबसाइट पर ले जाकर ऑपरेशन की वैधता को बढ़ावा देगा। वेबसाइट को कई फिल्म पोस्टरों के माध्यम से आधिकारिक रूप दिया जाता है जो विभिन्न सार्वजनिक स्रोतों से आते हैं, जैसे कि एक विज्ञापन एजेंसी, बेहंस सोशल मीडिया नेटवर्क और 'हाउ टू स्टील ए डॉग' पुस्तक।
निर्देशों के बीच, कॉल सेंटर ऑपरेटर कॉल करने वालों को अपने कंप्यूटर पर एक एक्सेल दस्तावेज़ डाउनलोड करने के लिए कहेगा। इस हथियारयुक्त फ़ाइल में दूषित मैक्रोज़ हैं जो अंततः सिस्टम पर BazarLoader मैलवेयर छोड़ देंगे। यद्यपि यह विशेष खतरा अगले चरण के पेलोड के लिए डिलीवरी वाहन के रूप में लगभग विशेष रूप से उपयोग किया जाता है, इन्फोसेक शोधकर्ता ऐसे दूसरे चरण के मैलवेयर को BazaFlix हमले के हिस्से के रूप में वितरित करने में सक्षम नहीं हैं।
ट्रिकबॉट कनेक्शन
BazarLoader ट्रिकबॉट ट्रोजन नामक एक पुराने मैलवेयर खतरे के साथ महत्वपूर्ण कोड समानताएं साझा करता है। साइबर सुरक्षा शोधकर्ता उच्च स्तर के विश्वास के साथ मानते हैं कि TrcikBot गिरोह भी BazarLoader के निर्माण के लिए जिम्मेदार है। हैकर समूह कॉर्पोरेट लक्ष्यों के खिलाफ कई हमलों के लिए जिम्मेदार है जिसमें रैंसमवेयर जैसे कि रयूक रैनसमवेयर और कोंटी रैनसमवेयर की डिलीवरी शामिल थी। रैंसमवेयर पेलोड को गिराने के लिए एक उपकरण के रूप में हमलों में BazarLoader का उपयोग किया गया था। यह ध्यान दिया जाना चाहिए कि कॉल सेंटरों को उसी हैकर समूह द्वारा संचालित नहीं किया जा सकता है जो आवश्यक रूप से ऑपरेशन करता है। एक पूरी तरह से अलग खतरे वाले अभिनेता द्वारा सेवा के रूप में कॉल सेंटरों की पेशकश करना पूरी तरह से संभव है।
