BazaFlix

Een nieuwe aanvalscampagne maakt gebruik van speciale callcenters en een nep-streamingdienst om nietsvermoedende gebruikers te misleiden om corrupte documenten te downloaden die de BazarLoader-malwarebedreiging bevatten. Deze specifieke stijl van aanvalsoperaties ontstond begin 2021. In wezen is het een nieuwe phishing-methode die door infosec-onderzoekers BazarCall werd genoemd.

De cybercriminelen verspreiden spam-e-mailberichten waarin wordt beweerd dat een niet-bestaand proef- of demo-abonnement op het punt staat te verlopen, wat leidt tot betalingskosten op de creditcard / betaalpas van de gebruiker. Een breed scala aan diensten is tot dusverre misbruikt met schijnbaar e-mails van bedrijven in de medische, farmaceutische, lingerie-, bloemen- of antivirussector. De nieuwste campagne levert echter berichten die zogenaamd afkomstig zijn van een streamingdienst genaamd BravoMovies. De operatie werd ontdekt door de infosec-onderzoekers van Proofpoint die het volgden als BazaFlix.

BazaFlix-gegevens

De lokaas-e-mails blijven volgens hetzelfde patroon - ze beweren dat het proef- / demo-abonnement van de gebruiker op BravoMovies, in de e-mails beschreven als een van de belangrijkste streamingdiensten ter wereld, op het punt staat te verlopen en een bedrag van $ 39,99 zal worden doorgestuurd naar de automatisch verstrekte betaalkaart voor een premium tier-upgrade. Om het proces te annuleren, vraagt de e-mail gebruikers om het opgegeven telefoonnummer van de klantenservice te bellen.

Als u dit doet, wordt de getroffen gebruiker doorverbonden met een callcenter dat voor de hackers werkt. De telefoonoperator zal vervolgens proberen het vertrouwen van de beller te winnen en de legitimiteit van de operatie te vergroten door de gebruiker naar een speciaal ontworpen website voor de vermeende 'BravoMovies'-streaming- en tv-service van een bedrijf genaamd UrbanCinema te leiden. De website krijgt officieel uiterlijk via verschillende filmposters die afkomstig zijn van verschillende openbare bronnen, zoals een reclamebureau, het Behance sociale medianetwerk en het boek 'How to Steal a Dog'.

Onder de instructies zal de callcentermedewerker de bellers vertellen dat ze een Excel-document op hun computer moeten downloaden. Dit bewapende bestand bevat beschadigde macro's die uiteindelijk de BazarLoader-malware op het systeem zullen plaatsen. Hoewel deze specifieke dreiging bijna uitsluitend wordt gebruikt als een transportmiddel voor de volgende fase-ladingen, hebben infosec-onderzoekers niet kunnen waarnemen dat een dergelijke tweede-fase malware wordt afgeleverd als onderdeel van de BazaFlix-aanval.

TrickBot-verbinding

BazarLoader deelt aanzienlijke code-overeenkomsten met een oudere malwarebedreiging genaamd TrickBot Trojan. Cybersecurity-onderzoekers geloven met een groot vertrouwen dat de TrcikBot-bende ook verantwoordelijk is voor de oprichting van BazarLoader. De hackergroep is verantwoordelijk voor meerdere aanvallen op bedrijfsdoelen waarbij ransomware zoals de Ryuk Ransomware en de Conti Ransomware aan de gecompromitteerde systemen werd geleverd. BazarLoader werd bij de aanvallen gebruikt als een hulpmiddel om de ransomware-payloads te laten vallen. Opgemerkt moet worden dat de callcenters mogelijk niet worden beheerd door dezelfde hackergroep die de operatie noodzakelijkerwijs uitvoert. Het is heel goed mogelijk dat de callcenters als service worden aangeboden door een heel andere dreigingsactor.