BazaFlix

En ny attackkampanj använder dedikerade callcenter och en falsk streamingtjänst för att lura intet ont anande användare att ladda ner skadade dokument som bär BazarLoader-skadlig programvaruhot. Denna speciella typ av attackoperationer uppstod i början av 2021. I grund och botten är det en ny nätfiskemetod som infosec-forskare betecknade som BazarCall.

Cyberkriminella sprider skräppostmeddelanden som hävdar att en obefintlig test- eller demo-prenumeration är på väg att upphöra, vilket resulterar i betalningsavgifter på användarens kredit- / betalkort. Ett brett utbud av tjänster har hittills missbrukats med e-postmeddelanden som skickats av företag inom läkemedels-, läkemedels-, underkläder-, blomma- eller antivirusbranschen. Den senaste kampanjen levererar dock meddelanden som förmodligen kommer från en streamingtjänst som heter BravoMovies. Operationen upptäcktes av infosec-forskarna vid Proofpoint som spårade den som BazaFlix.

BazaFlix-detaljer

Bete-e-postmeddelandena håller fast vid samma mönster - de hävdar att användarens prövnings- / demo-prenumeration på BravoMovies, som i e-postmeddelandena beskrivs som en av de största streamingtjänsterna på planeten, håller på att upphöra och en avgift på $ 39,99 kommer att vidarebefordras till tillhandahållit betalkort automatiskt för en premiumnivåuppgradering. För att avbryta processen dirigerar e-postmeddelandet användarna att ringa det angivna telefonnummer för kundtjänst.

Om du gör det kommer den berörda användaren att anslutas till ett callcenter som arbetar för hackarna. Telefonoperatören kommer sedan att försöka få förtroendet hos den som ringer och öka legitimiteten för operationen genom att leda användaren till en speciellt utformad webbplats för den påstådda 'BravoMovies' streaming- och TV-tjänsten från ett företag som heter UrbanCinema. Webbplatsen får officiellt utseende genom flera filmaffischer som kommer från olika offentliga källor, såsom en reklambyrå, Behance sociala nätverk och boken "Hur man stjäl en hund."

Bland instruktionerna kommer operatören att ringa uppmanarna att ladda ner ett Excel-dokument till sina datorer. Denna beväpnade fil innehåller skadade makron som i slutändan kommer att släppa BazarLoader-skadlig programvara till systemet. Även om detta hot används som leveransfordon för nästa stegs nyttolast nästan uteslutande, har infosec-forskare inte kunnat observera en sådan andra stegs skadlig kod som levereras som en del av BazaFlix-attacken.

TrickBot-anslutning

BazarLoader delar betydande kodlikheter med ett äldre hot mot skadlig kod som heter TrickBot Trojan. Cybersäkerhetsforskare tror med hög förtroende att TrcikBot-gänget också är ansvarigt för skapandet av BazarLoader. Hackargruppen är ansvarig för flera attacker mot företagsmål som involverade leverans av ransomware som Ryuk Ransomware och Conti Ransomware till de komprometterade systemen. BazarLoader användes i attackerna som ett verktyg för att släppa ransomware-nyttolasten. Det bör noteras att callcentren kanske inte drivs av samma hackargrupp som utför operationen nödvändigtvis. Det är fullt möjligt för callcenter att erbjudas som en tjänst av en helt annan hotaktör.