BazaFlix

В новой кампании атаки используются специальные центры обработки вызовов и поддельная потоковая служба, чтобы обмануть ничего не подозревающих пользователей и заставить их загрузить поврежденные документы, несущие угрозу вредоносного ПО BazarLoader. Этот особый стиль атак появился в начале 2021 года. По сути, это новый метод фишинга, который исследователи информационной безопасности обозначили как BazarCall.

Киберпреступники рассылают спам-сообщения электронной почты, в которых утверждается, что срок действия несуществующей пробной или демонстрационной подписки скоро истечет, что приведет к списанию средств с кредитной / дебетовой карты пользователя. До сих пор использовались электронные письма, рассылаемые компаниями из медицинского, фармацевтического, нижнего, цветочного и антивирусного секторов, а также широкого спектра услуг. Однако последняя кампания доставляет сообщения, которые предположительно поступают от потокового сервиса BravoMovies. Операция была обнаружена исследователями информационной безопасности в Proofpoint, которые отследили ее как BazaFlix.

Подробнее о BazaFlix

Электронные письма-приманки придерживаются той же схемы - они утверждают, что пробная / демонстрационная подписка пользователя на BravoMovies, описанная в электронных письмах как одна из основных потоковых сервисов на планете, скоро истечет, и плата в размере 39,99 долларов будет переведена на автоматически предоставила платежную карту для повышения уровня премиум-класса. Чтобы отменить процесс, в электронном письме пользователям предлагается позвонить по указанному номеру телефона службы поддержки клиентов.

Это свяжет пострадавшего пользователя с колл-центром, работающим на хакеров. Затем телефонный оператор попытается завоевать доверие вызывающего абонента и повысить легитимность операции, направив пользователя на специально созданный веб-сайт для предполагаемой потоковой и телевизионной услуги BravoMovies от компании UrbanCinema. Официальный вид веб-сайта представлен в виде нескольких постеров с фильмами, которые поступают из различных общедоступных источников, таких как рекламное агентство, социальная сеть Behance и книга «Как украсть собаку».

Среди инструкций оператор call-центра скажет вызывающим абонентам загрузить документ Excel на свои компьютеры. Этот оружейный файл содержит поврежденные макросы, которые в конечном итоге сбрасывают вредоносное ПО BazarLoader в систему. Хотя эта конкретная угроза используется почти исключительно в качестве средства доставки полезных нагрузок следующего этапа, исследователи информационной безопасности не смогли наблюдать, как вредоносное ПО второго этапа доставляется как часть атаки BazaFlix.

Подключение TrickBot

Код BazarLoader во многом похож на код более старой вредоносной программы под названием TrickBot Trojan. Исследователи кибербезопасности с большой степенью уверенности полагают, что банда TrcikBot также несет ответственность за создание BazarLoader. Группа хакеров несет ответственность за множественные атаки на корпоративные цели, которые включали доставку программ-вымогателей, таких как Ryuk Ransomware и Conti Ransomware, на скомпрометированные системы. BazarLoader использовался в атаках как инструмент для удаления полезной нагрузки вымогателей. Следует отметить, что центры обработки вызовов не могут управляться той же группой хакеров, которая обязательно выполняет операцию. Вполне возможно, что центры обработки вызовов будут предлагаться в качестве услуги совершенно другим злоумышленником.