BazarCall Malware
Uma ameaça de malware nunca antes vista, chamada pela comunidade infosec de BazarCall Malware, ou BazaCall, está sendo espalhada por meio de uma nova campanha de ataque. A ameaça atua como um dropper em estágio inicial responsável por buscar cargas poderosas e ameaçadoras e entregá-las no sistema infectado. No início, a campanha de ataque descartou o malware BazarLoader, daí o nome da ameaça, mas desde então, vários outros Trojans de Acesso Remoto, tais como o TrickBot, o IcedID, o Gozi IFSB e outros foram observados como empregados. Essas ameaças possuem funcionalidades ameaçadoras poderosas que permitem que os hackers se movam lateralmente dentro da rede corporativa violada, executem comandos arbitrários e executem cargas adicionais de ladrões de informações ou ransomware.
O recurso mais característico do malware BazarCall é a maneira única pela qual a ameaça é baixada no computador de destino. O ataque começa, sem surpresa, com a disseminação de e-mails de phishing direcionados a usuários corporativos. O corpo dos e-mails é estruturado como um lembrete de que uma suposta assinatura gratuita irá expirar e será cobrada do usuário uma taxa de $69,99 a $89,99 para o nível premium do serviço não especificado. O assunto dos e-mails de isca varia, mas geralmente é uma variação de 'Obrigado por usar seu teste gratuito' ou 'Seu período de teste gratuito está quase no fim!' As empresas mencionadas como remetentes dos e-mails são todos falsos - 'iMed Service, Inc.', 'Blue Cart Service, Inc.', 'iMers, Inc.' sendo o mais comumente usado 'Serviço de lembrete médico, Inc.'
É aqui que a diferença única do malware BazarCall entra em cena. Em vez de incitar os usuários a abrir o anexo perigoso, os e-mails de isca os incentivam a ligar para um número de telefone fornecido de um centro de atendimento ao cliente que os ajudará a interromper a suposta assinatura paga.
O Esquema de Distribuição-como-um-Serviço
Os pesquisadores de Infosec concluíram que os operadores do chamado centro de suporte ao cliente envolvidos na campanha ameaçadora muito provavelmente operam em um esquema de Distribuição-como-um-Serviço, considerando vários autores de ameaça como clientes. Essa conjectura é corroborada por diferentes cargas úteis de estágio final que estão sendo entregues por meio da operação de malware BazarCall.
Sempre que um usuário-alvo contata o número de telefone do centro, uma operadora ao vivo será atribuída à chamada. O operador primeiro confirmará se o chamador é de fato uma das vítimas pretendidas, solicitando um número de ID de usuário exclusivo que pode ser encontrado dentro do e-mail de isca. Se um ID incorreto for fornecido, o usuário será simplesmente informado de que suas assinaturas foram encerradas e a chamada, encerrada. Por outro lado, ao fornecer um número de cliente válido, o usuário será direcionado para um site falso que parece estar associado à empresa de serviços médicos responsável pelo envio dos emails. A operadora ao vivo permanecerá na ligação e guiará o usuário pelo processo de preenchimento de uma página de cancelamento falsa. Sempre que o usuário inserir seu número de ID de cliente, o site iniciará o download de um documento Excel corrompido (.xls, xlsb) automaticamente. O operador da chamada instruirá o usuário a pressionar o botão 'Ativar Conteúdo', que permitirá que as macros ameaçadoras injetadas no arquivo doc iniciem o download e a execução do malware BazarCall.
A inclusão de um elemento ativo permitiu que a campanha de ataque parecesse muito mais legítima aos olhos dos usuários normais, resultando em baixas taxas de detecção de malware e altos números de infecção.
