BazaFlix

Yeni bir saldırı kampanyası, özel çağrı merkezlerini ve sahte bir yayın hizmetini kullanarak şüphesiz kullanıcıları kandırarak BazarLoader kötü amaçlı yazılım tehdidini taşıyan bozuk belgeleri indirmeye yönlendirir. Bu özel saldırı operasyonları türü 2021'in başında ortaya çıktı. Aslında, infosec araştırmacılarının BazarCall olarak belirlediği yeni bir kimlik avı yöntemidir.

Siber suçlular, var olmayan bir deneme veya demo aboneliğinin sona ermek üzere olduğunu iddia eden spam e-posta mesajları yayarlar ve bu da kullanıcının kredi / banka kartına ödeme yapılmasıyla sonuçlanır. Tıp, ilaç, iç giyim, çiçek veya anti-virüs sektörlerindeki şirketler tarafından gönderilen e-postalarla şimdiye kadar çok çeşitli hizmetler suistimal edildi. Bununla birlikte, en son kampanya, BravoMovies adlı bir yayın hizmetinden geldiği varsayılan mesajları sunuyor. Operasyon, BazaFlix olarak izlenen Proofpoint'teki infosec araştırmacıları tarafından keşfedildi.

BazaFlix Detayları

Yem e-postaları da aynı kalıba bağlı - kullanıcının e-postalarda gezegendeki başlıca yayın hizmetlerinden biri olarak tanımlanan BravoMovies deneme / demo aboneliğinin sona ermek üzere olduğunu ve 39,99 $ 'lık bir ücretin premium katman yükseltmesi için otomatik olarak sağlanan ödeme kartı. İşlemi iptal etmek için e-posta, kullanıcıları sağlanan müşteri hizmetleri telefon numarasını aramaya yönlendirir.

Bunu yapmak, etkilenen kullanıcıyı bilgisayar korsanları için çalışan bir çağrı merkezine bağlayacaktır. Telefon operatörü daha sonra, kullanıcıyı UrbanCinema adlı bir şirketten iddia edilen 'BravoMovies' akışı ve TV hizmeti için özel olarak hazırlanmış bir web sitesine yönlendirerek arayanın güvenini kazanmaya ve operasyonun meşruiyetini artırmaya çalışacaktır. Web sitesine, bir reklam ajansı, Behance sosyal medya ağı ve 'Bir Köpek Nasıl Çalınır' kitabı gibi farklı kamu kaynaklarından gelen birkaç film afişi aracılığıyla resmi görünüm verilmiştir.

Talimatlar arasında, çağrı merkezi operatörü arayanlara bilgisayarlarına bir Excel belgesi indirmelerini söyleyecektir. Bu silah haline getirilmiş dosya, sonunda BazarLoader kötü amaçlı yazılımını sisteme bırakacak bozuk makrolar içerir. Bu özel tehdit, sonraki aşama yükler için neredeyse yalnızca bir teslimat aracı olarak kullanılsa da, infosec araştırmacıları, BazaFlix saldırısının bir parçası olarak bu tür ikinci aşama bir kötü amaçlı yazılımın iletildiğini gözlemleyemediler.

TrickBot Bağlantısı

BazarLoader, TrickBot Trojan adlı eski bir kötü amaçlı yazılım tehdidi ile önemli kod benzerliklerini paylaşır. Siber güvenlik araştırmacıları, TrcikBot çetesinin BazarLoader'ın oluşturulmasından da sorumlu olduğuna büyük bir güven duyarak inanıyor. Hacker grubu, risk altındaki sistemlere Ryuk Ransomware ve Conti Ransomware gibi fidye yazılımının teslim edilmesini içeren kurumsal hedeflere yönelik birden fazla saldırıdan sorumludur. BazarLoader, saldırılarda fidye yazılımı yüklerini düşürmek için bir araç olarak kullanıldı. Çağrı merkezlerinin, işlemi zorunlu olarak gerçekleştiren aynı hacker grubu tarafından işletilemeyebileceği unutulmamalıdır. Çağrı merkezlerinin bambaşka bir tehdit aktörü tarafından hizmet olarak sunulması tamamen mümkündür.