BazarCall Malware

BazarCall Kötü Amaçlı Yazılım (veya BazaCall), özellikle kurumsal kuruluşların ağlarına karşı üst düzey arka kapı Truva atları ve Uzaktan Erişim Truva Atları (RAT) dağıtmada uzmanlaşmış bir Truva atıdır. Tehdit aktörleri, kullanıcıları bozuk bir Excel belgesini açmaları için kandırmak için canlı telefon desteği de dahil olmak üzere bir çağrı merkezi taktiği kullanıyor. Çalışanlar, bu kampanyayla ilişkili telefon numaralarından ve sitelerden kaçınmalı ve BazarCall Kötü Amaçlı Yazılımını veya BazarBackdoor gibi ilgili tehditleri kaldırmak için güvenilir bir kötü amaçlı yazılımdan koruma çalıştırmalıdır.

Yalnızca Kurumsal Sabotaja Yol Açabilecek Bir Çağrı

Dosya kilitleme Truva atları ve gelişmiş casus yazılımlar, şirketlerin ağlarına karşı son derece şaşırtıcı olmayan yükler olsa da, saldırganların dağıtımları için kullandıkları taktikler esnektir. Stratejik değişimin özellikle yeni bir noktası, Ocak 2021'den beri varlığını kanıtlayan BazarCall Kötü Amaçlı Yazılımından geliyor. BazarCall Kötü Amaçlı Yazılım, sofistike ancak geleneksel tehditler sunarken, bunu yapma şekli yüksek yatırım, siyah şapka işinden geçiyor. '

BazarCall Malware'in iş modeli, Truva atı yükleme hizmetlerini diğer tehdit aktörlerine satan açık bir yazılım dağıtım şemasıdır. Mağdurun bakış açısından saldırı, diğerleri gibi dolandırıcılık temelli bir e-posta mesajıyla başlar. Metin, ücretsiz bir yazılım denemesinin sona erme tarihine yaklaştığını iddia ediyor ve herhangi bir masrafı önlemek için manuel iptal gerekiyor. E-posta, ekli bir dosya veya web sitesi bağlantısı içermez, bunun yerine kullanıcıları hızla değişen telefon numaralarından birini aramaya yönlendirir.

Numara, kendini işine adamış taktik sanatçıları tarafından Pazartesi'den Cuma'ya kadar profesyonel bir çalışma rutini olan sahte bir çağrı merkezine götürüyor. Saldırganlar, kurbanları bir iptal formunun web sitesi indirmesine götürmeden önce e-posta kimliğini (güvenlik araştırmacılarını araştırmaktan kaçınmak için) doğrular - BazarCall Kötü Amaçlı Yazılım için gizli bir indirme mekanizması ve enfeksiyon zincirinden başlar.

Kurumsal Rampaging Truva Atlarını Takma

BazarCall Kötü Amaçlı Yazılımın tüm özellikleri daha fazla analiz gerektirir ve yeni dağıtım taktiği nedeniyle örnekler yetersizdir. Ancak kötü amaçlı yazılım araştırmacıları, sisteme diğer tehditleri düşürmek ve saldırganların kurumsal ağları ele geçirmelerine yardımcı olmak için bir Truva atı indiricisi olarak işlev gördüğünü doğrulayabilir. BazarCall Kötü Amaçlı Yazılımın yükü, BazarLoader (BazarBackdoor için bir yükleme bileşeni), Trojan.TrickBot casus yazılımı ve botnet bankacılık Truva Atı, IcedID dahil olmak üzere varsayılan bağlı kuruluş kiracılarına göre değişir.

Bir BazarCall Kötü Amaçlı Yazılım bulaşmasının anında etkisi, saldırganların uzun vadeli casusluk için bir ağa arka kapı erişimini güvence altına almak için kullanabilecekleri parolaların ve diğer kimlik bilgilerinin kaybını içerir. Saldırganların, işletmenin belgeleri ve veritabanları gibi verileri şifrelemek için dosya kilitli Truva atları kullanmaları konusunda da önemli bir risk vardır. Şifreleme genellikle tüm pratik hususlar için geri çevrilemez.

Her zaman olduğu gibi kurbanlar, arabadan indirmeyi tetikleyen Excel makrosunu etkinleştirmeyi reddedebilir veya taktiğin önceki bir noktasında durabilir. Bununla birlikte, canlı bir çağrı merkezi taktiği bir tehdit aktörü için yeni bir altyapı parçası olduğundan, raporlar BazarCall Kötü Amaçlı Yazılım bulaşma girişimlerinin yüksek başarı oranlarına sahip olduğunu göstermektedir. Kullanıcılar ayrıca, BazarCall Kötü Amaçlı Yazılımını ve yükleme belgesini güvenli bir şekilde kaldırmak için kötü amaçlı yazılımdan koruma hizmetlerini güncellemelidir.

BazarCall Kötü Amaçlı Yazılım, siber güvenlik satıcılarının etrafından dolaşan altyapıyla diğer suçluların ihtiyaçlarına hizmet eden, korkutucu derecede iyi düşünülmüş bir Black Hat işletmesidir. İdeal olarak, risk altındaki sektörlerdeki çalışanlar, ilgili e-posta gelen kutularına gelmeden önce kendilerini yeni taktik hakkında bilgilendireceklerdir.