BazaFlix

Nowa kampania ataku wykorzystuje dedykowane centra obsługi telefonicznej i fałszywą usługę przesyłania strumieniowego, aby oszukać niczego nie podejrzewających użytkowników do pobrania uszkodzonych dokumentów niosących zagrożenie ze strony złośliwego oprogramowania BazarLoader. Ten szczególny styl operacji ataku pojawił się na początku 2021 roku. W istocie jest to nowa metoda phishingu, którą badacze infosec nazwali BazarCall.

Cyberprzestępcy rozpowszechniają wiadomości e-mail ze spamem, twierdząc, że nieistniejąca subskrypcja próbna lub demonstracyjna wkrótce wygaśnie, co spowoduje naliczenie opłat na karcie kredytowej / debetowej użytkownika. Do tej pory nadużywano szerokiego wachlarza usług e-mailami wysyłanymi przez firmy z branży medycznej, farmaceutycznej, bielizny, kwiatów czy antywirusów. Najnowsza kampania dostarcza jednak wiadomości, które rzekomo pochodzą z serwisu streamingowego o nazwie BravoMovies. Operacja została odkryta przez badaczy infosec w Proofpoint, którzy śledzili ją jako BazaFlix.

BazaFlix Szczegóły

E-maile-przynęty trzymają się tego samego schematu - twierdzą, że subskrypcja próbna / demonstracyjna użytkownika BravoMovies, opisana w e-mailach jako jedna z głównych usług przesyłania strumieniowego na świecie, wkrótce wygaśnie, a opłata w wysokości 39,99 USD zostanie przekazana do automatycznie podała kartę płatniczą w celu podwyższenia poziomu premium. Aby anulować proces, wiadomość e-mail kieruje użytkowników do podanego numeru telefonu obsługi klienta.

Spowoduje to połączenie użytkownika, którego dotyczy problem, z centrum obsługi telefonicznej pracującym dla hakerów. Operator telefoniczny będzie następnie próbował zdobyć zaufanie dzwoniącego i zwiększyć legalność operacji, kierując użytkownika do specjalnie spreparowanej strony internetowej dla rzekomej usługi transmisji strumieniowej i telewizji „BravoMovies" firmy UrbanCinema. Witryna ma oficjalny wygląd za pośrednictwem kilku plakatów filmowych pochodzących z różnych źródeł publicznych, takich jak agencja reklamowa, sieć mediów społecznościowych Behance i książka „Jak ukraść psa".

Wśród instrukcji operator call center powie dzwoniącym, aby pobrali dokument Excel na swoje komputery. Ten uzbrojony plik zawiera uszkodzone makra, które ostatecznie upuszczą złośliwe oprogramowanie BazarLoader w systemie. Chociaż to konkretne zagrożenie jest wykorzystywane jako narzędzie dostarczania dla ładunków następnego etapu prawie wyłącznie, badacze infosec nie byli w stanie zaobserwować, jak szkodliwe oprogramowanie drugiego etapu jest dostarczane w ramach ataku BazaFlix.

Połączenie TrickBota

BazarLoader ma istotne podobieństwa w kodzie ze starszym zagrożeniem ze strony złośliwego oprogramowania o nazwie TrickBot Trojan. Badacze zajmujący się cyberbezpieczeństwem są przekonani, że gang TrcikBot jest również odpowiedzialny za stworzenie BazarLoader. Grupa hakerów jest odpowiedzialna za wielokrotne ataki na cele korporacyjne, które obejmowały dostarczanie oprogramowania ransomware, takiego jak Ryuk Ransomware i Conti Ransomware, do zaatakowanych systemów. BazarLoader był używany w atakach jako narzędzie do zrzucania ładunków ransomware. Należy zauważyć, że centra obsługi telefonicznej mogą nie być obsługiwane przez tę samą grupę hakerów, która koniecznie przeprowadza operację. Centra obsługi telefonicznej mogą być całkowicie oferowane jako usługa przez zupełnie innego aktora zagrażającego.