BazaFlix

Uma nova campanha de ataque usa centrais de atendimento dedicadas e um serviço de streaming falso para enganar usuários desavisados, fazendo com que baixem documentos corrompidos contendo a ameaça de malware BazarLoader. Esse estilo específico de operações de ataque surgiu no início de 2021. Em essência, é um novo método de phishing que os pesquisadores da Infosec designaram como BazarCall.

Os cibercriminosos disseminam mensagens de e-mail de spam alegando que uma assinatura de teste ou demo inexistente está prestes a expirar, resultando em cobranças de pagamento no cartão de crédito/débito do usuário. Até agora, uma ampla gama de serviços foi abusada com e-mails enviados por empresas dos setores médico, farmacêutico, lingerie, flores ou antivírus aparentemente. A campanha mais recente, no entanto, entrega mensagens que supostamente vêm de um serviço de streaming chamado BravoMovies. A operação foi descoberta pelos pesquisadores de Infosec da Proofpoint, que a rastreou como BazaFlix.

Detalhes sobre o BazaFlix

Os e-mails de isca seguem o mesmo padrão - eles afirmam que a assinatura de teste/demonstração do usuário do BravoMovies, descrita nos e-mails como um dos principais serviços de streaming do planeta, está prestes a expirar e uma cobrança de $39,99 será encaminhada para o cartão de pagamento fornecido automaticamente para um upgrade de nível premium. Para cancelar o processo, o e-mail direciona os usuários a ligar para o número de telefone do atendimento ao cliente fornecido.

Isso conectará o usuário afetado a uma central de atendimento que trabalha para os hackers. A operadora de telefonia tentará então ganhar a confiança de quem liga e aumentar a legitimidade da operação, conduzindo o usuário a um site especialmente criado para o suposto serviço de streaming e TV 'BravoMovies' de uma empresa chamada UrbanCinema. O site tem aparência oficial por meio de vários pôsteres de filmes provenientes de diferentes fontes públicas, como uma agência de publicidade, a rede de mídia social Behance e o livro 'How to Steal a Dog'.

Entre as instruções, a operadora do call center dirá aos chamadores para fazer o download de um documento do Excel em seus computadores. Este arquivo armado contém macros corrompidas que acabarão por colocar o malware BazarLoader no sistema. Embora essa ameaça em particular seja usada quase exclusivamente como um veículo de entrega para as cargas úteis do próximo estágio, os pesquisadores da infosec não foram capazes de observar esse malware de segundo estágio sendo entregue como parte do ataque BazaFlix.

Conexão TrickBot

O BazarLoader compartilha semelhanças de código significativas com uma ameaça de malware mais antiga chamada TrickBot Trojan. Os pesquisadores de segurança cibernética acreditam com alto nível de confiança que a gangue TrcikBot também é responsável pela criação do BazarLoader. O grupo de hackers é responsável por vários ataques contra alvos corporativos que envolvem a entrega de ransomware, como o Ryuk Ransomware e o Conti Ransomware, aos sistemas comprometidos. O BazarLoader foi usado nos ataques como uma ferramenta para descartar as cargas de ransomware. Ressalta-se que as centrais de atendimento não podem ser operadas pelo mesmo grupo de hackers que necessariamente realiza a operação. É perfeitamente possível que as centrais de atendimento sejam oferecidas como um serviço por um agente de ameaça totalmente diferente.