ระวังศูนย์รับสายปลอมที่หลอกผู้ใช้ให้ติดตั้งแรนซัมแวร์และโปรแกรมขโมยข้อมูล
แนวโน้มใหม่ที่น่ากังวลได้เกิดขึ้นในวงการภัยคุกคามทางไซเบอร์ ซึ่งผู้ไม่ประสงค์ดีได้ประดิษฐ์แคมเปญหลอกลวงเพื่อหลอกล่อเหยื่อที่ไม่สงสัยให้ติดตั้งมัลแวร์ วิธีการโจมตีนี้เรียกว่า "BazaCall" โดยใช้ศูนย์รับสายปลอมเป็นส่วนหนึ่งของแนวทางส่วนตัวเพื่อแพร่เชื้อแรนซัมแวร์และมัลแวร์ขโมยข้อมูลในคอมพิวเตอร์
สารบัญ
ห่วงโซ่การโจมตี BazaCall
ต่างจากการโจมตีทางวิศวกรรมสังคมแบบเดิมที่มักใช้ลิงก์หรือเอกสารที่เป็นอันตราย แคมเปญ BazaCall มีเส้นทางที่ซับซ้อนกว่า โดยเป้าหมายจะได้รับอีเมลแจ้งเตือนเกี่ยวกับค่าธรรมเนียมการสมัครสมาชิกที่จะเกิดขึ้น เว้นแต่จะติดต่อไปที่หมายเลขโทรศัพท์ที่ระบุ เมื่อเป้าหมายโทรออกแล้ว พวกเขาจะเชื่อมต่อกับเจ้าหน้าที่รับสายที่ศูนย์รับสายปลอม เจ้าหน้าที่รับสายซึ่งดูเป็นมืออาชีพ แนะนำให้เหยื่อดาวน์โหลดมัลแวร์ BazaLoader โดยอ้างว่าเป็นวิธีแก้ปัญหาที่ถูกต้องตามกฎหมายเพื่อยกเลิกการสมัครสมาชิก
BazaLoader หรือที่รู้จักกันในชื่อ BazarBackdoor เป็นตัวดาวน์โหลดที่อันตรายอย่างยิ่งซึ่งสามารถแทรกซึมระบบด้วยแรนซัมแวร์ โปรแกรมขโมยข้อมูล และมัลแวร์รูปแบบอื่นๆ มัลแวร์นี้ถูกค้นพบครั้งแรกในเดือนเมษายน 2020 และตั้งแต่นั้นมาก็ถูกใช้โดยกลุ่มอาชญากรทางไซเบอร์หลายกลุ่ม BazaLoader มักเกี่ยวข้องกับตระกูลแรนซัมแวร์ที่มีชื่อเสียง เช่น Ryuk และ Conti ซึ่งสร้างความเสียหายให้กับองค์กรต่างๆ ทั่วโลก
การโจมตีเกิดขึ้นได้อย่างไร
เมื่อติดตั้งแล้ว มัลแวร์จะทำงานได้อย่างรวดเร็วและมีประสิทธิภาพ ตามรายงานของทีม Threat Intelligence 365 Defender ของ Microsoft ภายใน 48 ชั่วโมงหลังจากการโจมตีครั้งแรก การโจมตี BazaCall อาจทวีความรุนแรงขึ้น นำไปสู่การขโมยข้อมูล การใช้งานแรนซัมแวร์ และสร้างความเสียหายอย่างกว้างขวางต่อเครือข่ายเป้าหมาย การมีส่วนร่วมของเจ้าหน้าที่ศูนย์บริการสายด่วนถือเป็นจุดเปลี่ยนที่ไม่เหมือนใครที่ทำให้การโจมตีเหล่านี้ตรวจจับได้ยากยิ่งขึ้นเมื่อเทียบกับการโจมตีฟิชชิ่งอัตโนมัติทั่วไป
เทคนิคการหลบเลี่ยง
เหตุผลสำคัญประการหนึ่งที่ทำให้ BazaCall ประสบความสำเร็จอย่างมากก็คือการที่มันหลีกเลี่ยงกลไกการตรวจจับฟิชชิ่งแบบเดิมๆ การโจมตีทางอีเมลแบบเดิมๆ อาศัยลิงก์หรือไฟล์แนบที่เป็นอันตราย ซึ่งซอฟต์แวร์ด้านความปลอดภัยมักจะตรวจจับได้ อย่างไรก็ตาม BazaCall จะหลีกเลี่ยงการป้องกันเหล่านี้โดยใช้การโต้ตอบของมนุษย์ ซึ่งเพิ่มความซับซ้อนเข้าไปอีกชั้นหนึ่ง แนวทางของศูนย์บริการทางโทรศัพท์ทำให้เครื่องมือสแกนอีเมลตรวจจับภัยคุกคามที่เกิดขึ้นทันทีได้ยาก เนื่องจากไม่มีเนื้อหาที่เป็นอันตรายรวมอยู่ในอีเมลนั้นเอง
การขยายภูมิทัศน์ของภัยคุกคาม
นี่ไม่ใช่ครั้งแรกที่ BazaLoader ถูกใช้ในการโจมตีแบบสร้างสรรค์และซับซ้อน เมื่อต้นปีนี้ Palo Alto Networks และ Proofpoint ได้เน้นย้ำถึงการแพร่กระจายของมัลแวร์ผ่านเว็บไซต์อีบุ๊กปลอมและบริการสตรีมภาพยนตร์ ผู้ใช้ถูกหลอกล่อให้ไปที่เว็บไซต์เหล่านี้ จากนั้นจึงแจ้งให้ดาวน์โหลดสเปรดชีต Excel ปลอม ซึ่งทำการติดตั้งมัลแวร์ กลวิธีเดียวกันนี้ยังใช้ในแคมเปญ BazaCall โดยตัวแทนศูนย์บริการโทรศัพท์หลอกลวงจะแนะนำเหยื่อไปยังเว็บไซต์สูตรอาหาร เช่น "topcooks[.]us" เพื่อชำระเงินค่าสมัครสมาชิกที่ไม่มีอยู่จริง
วิวัฒนาการอันอันตรายของอาชญากรรมทางไซเบอร์
การรวมเอาองค์ประกอบของมนุษย์เข้ามาทำให้การโจมตีครั้งนี้เป็นอันตรายมากกว่าแผนการฟิชชิ่งอัตโนมัติอื่นๆ แคมเปญ BazaCall แสดงให้เห็นถึงความจำเป็นที่ธุรกิจและบุคคลต่างๆ จะต้องเฝ้าระวังและรับทราบข้อมูล นักวิจัยด้านความปลอดภัยทางไซเบอร์เน้นย้ำถึงความสำคัญของการมองเห็นแบบข้ามโดเมน โดยเชื่อมโยงข้อมูลจากแหล่งต่างๆ เพื่อสร้างการป้องกันที่ครอบคลุม ความจริงที่ว่าอาชญากรทางไซเบอร์เต็มใจที่จะลงทุนเวลาและทรัพยากรในการสร้างศูนย์รับสายปลอมนั้นเน้นย้ำถึงความซับซ้อนที่พัฒนาขึ้นของการโจมตีทางไซเบอร์ในปัจจุบัน
การปกป้องตนเองจาก BazaCall
เพื่อป้องกัน BazaCall และภัยคุกคามอื่นๆ ที่คล้ายคลึงกัน ผู้ใช้และธุรกิจควรใช้กลยุทธ์การรักษาความปลอดภัยหลายชั้น ซึ่งรวมถึงการให้ความรู้แก่พนักงานเกี่ยวกับอันตรายจากอีเมลและการโทรที่ไม่คาดคิด การใช้ซอฟต์แวร์ป้องกันมัลแวร์ขั้นสูง และการตรวจสอบการรับส่งข้อมูลบนเครือข่ายอย่างต่อเนื่องเพื่อหาการกระทำที่ผิดปกติ ในกรณีที่มีการโทรที่น่าสงสัย อย่าดาวน์โหลดหรือติดตั้งซอฟต์แวร์ใดๆ เว้นแต่จะมาจากแหล่งที่เชื่อถือได้และผ่านการตรวจสอบแล้ว
เนื่องจากอาชญากรทางไซเบอร์มีความคิดสร้างสรรค์มากขึ้น ความจำเป็นในการเพิ่มความตระหนักรู้และกลไกการป้องกันที่แข็งแกร่งจึงไม่เคยเกิดขึ้นมาก่อน แคมเปญ BazaCall ทำหน้าที่เป็นตัวเตือนที่ชัดเจนว่าภัยคุกคามทางไซเบอร์สามารถเกิดขึ้นได้ในรูปแบบที่คาดไม่ถึง และการเฝ้าระวังเป็นกุญแจสำคัญในการก้าวไปข้างหน้าหนึ่งก้าว