BazaFlix

一项新的攻击活动使用专用的呼叫中心和虚假的流服务来欺骗毫无戒心的用户下载带有BazarLoader恶意软件威胁的损坏文档。这种特殊的攻击方式出现在2021年初。从本质上讲，这是信息安全研究人员指定为BazarCall的新型网络钓鱼方法。

网络犯罪分子散布垃圾邮件消息，声称不存在的试用版或演示版订阅即将到期，从而导致向用户的信用卡/借记卡付款。到目前为止，医疗，制药，内衣，花卉或防病毒领域的公司发送的电子邮件似乎滥用了广泛的服务。但是，最新的广告活动所传递的消息据说是来自名为BravoMovies的流媒体服务的。该操作是由Proofpoint的信息安全研究人员发现的，并将其追踪为BazaFlix。

BazaFlix详细信息

诱饵电子邮件遵循相同的模式-他们声称用户对BravoMovies的试用/演示订阅（在电子邮件中被描述为地球上的主要流媒体服务之一）即将到期，并将向该用户转发39.99美元的费用自动提供付款卡以进行高级升级。要取消此过程，电子邮件会指导用户拨打提供的客户服务电话号码。

这样做会将受影响的用户连接到为黑客服务的呼叫中心。然后，电话运营商将通过引导用户访问名为UrbanCinema的公司提供所谓的" BravoMovies"流媒体和电视服务的特制网站，从而赢得呼叫者的信任并提高操作的合法性。该网站通过来自不同公共来源的若干电影海报（包括广告代理商，Behance社交媒体网络和《如何偷狗》一书）而正式亮相。

在说明中，呼叫中心接线员将告诉呼叫者将Excel文档下载到他们的计算机上。这个武器化的文件包含损坏的宏，这些宏最终会将BazarLoader恶意软件丢弃到系统上。尽管这种特殊威胁几乎完全用作下一阶段有效载荷的传递工具，但信息安全研究人员仍无法观察到这种第二阶段恶意软件是作为BazaFlix攻击的一部分而传递的。

TrickBot连接

BazarLoader与较旧的名为TrickBot Trojan的恶意软件威胁具有重大的代码相似性。网络安全研究人员充满信心地相信TrcikBot团伙还负责创建BazarLoader。黑客组织负责针对企业目标的多次攻击，这些攻击涉及将Ryuk Ransomware和Conti Ransomware等勒索软件交付给受感染的系统。 BazarLoader在攻击中用作丢弃勒索软件有效载荷的工具。应该注意的是，呼叫中心可能不会由必须执行该操作的同一黑客组织来操作。完全有可能由完全不同的威胁参与者将呼叫中心作为服务提供。