BazaFlix

Una nuova campagna di attacco utilizza call center dedicati e un falso servizio di streaming per indurre gli utenti ignari a scaricare documenti danneggiati che trasportano la minaccia malware BazarLoader. Questo particolare stile di operazioni di attacco è emerso all'inizio del 2021. In sostanza, si tratta di un nuovo metodo di phishing che i ricercatori di infosec hanno designato come BazarCall.

I criminali informatici diffondono messaggi di posta elettronica di spam che affermano che una prova inesistente o un abbonamento demo sta per scadere con conseguenti addebiti di pagamento sulla carta di credito / debito dell'utente. Finora un'ampia gamma di servizi è stata oggetto di abuso con le e-mail inviate da aziende del settore medico, farmaceutico, della biancheria intima, dei fiori o degli antivirus. L'ultima campagna, tuttavia, fornisce messaggi che dovrebbero provenire da un servizio di streaming chiamato BravoMovies. L'operazione è stata scoperta dai ricercatori infosec di Proofpoint che l'hanno monitorata come BazaFlix.

Dettagli su BazaFlix

Le e-mail esche si attengono allo stesso schema: affermano che l'abbonamento di prova / demo dell'utente a BravoMovies, descritto nelle e-mail come uno dei principali servizi di streaming del pianeta, sta per scadere e un addebito di $ 39,99 verrà inoltrato al ha fornito automaticamente la carta di pagamento per un upgrade di livello premium. Per annullare il processo, l'e-mail indirizza gli utenti a chiamare il numero di telefono del servizio clienti fornito.

In questo modo si collegherà l'utente interessato con un call center che lavora per gli hacker. L'operatore telefonico cercherà quindi di ottenere la fiducia del chiamante e aumentare la legittimità dell'operazione indirizzando l'utente a un sito Web appositamente predisposto per il presunto servizio di streaming e TV "BravoMovies" di una società chiamata UrbanCinema. Il sito web è apparso ufficialmente attraverso diversi poster di film che provengono da diverse fonti pubbliche, come un'agenzia pubblicitaria, la rete di social media Behance e il libro "How to Steal a Dog".

Tra le istruzioni, l'operatore del call center dirà ai chiamanti di scaricare un documento Excel sui loro computer. Questo file armato contiene macro danneggiate che alla fine lasceranno cadere il malware BazarLoader nel sistema. Sebbene questa particolare minaccia venga utilizzata quasi esclusivamente come veicolo di consegna per i payload della fase successiva, i ricercatori di infosec non sono stati in grado di osservare un tale malware di seconda fase distribuito come parte dell'attacco BazaFlix.

Connessione TrickBot

BazarLoader condivide significative somiglianze di codice con una vecchia minaccia malware chiamata TrickBot Trojan. I ricercatori di sicurezza informatica ritengono con un alto livello di fiducia che la banda di TrcikBot sia anche responsabile della creazione di BazarLoader. Il gruppo di hacker è responsabile di molteplici attacchi contro obiettivi aziendali che hanno comportato la consegna di ransomware come Ryuk Ransomware e Conti Ransomware ai sistemi compromessi. BazarLoader è stato utilizzato negli attacchi come strumento per eliminare i payload del ransomware. Si precisa che i call center non possono essere gestiti dallo stesso gruppo di hacker che necessariamente esegue l'operazione. È del tutto possibile che i call center vengano offerti come servizio da un attore di minacce completamente diverso.