BazaFlix

BazaFlix說明

一項新的攻擊活動使用專用的呼叫中心和虛假的流服務來欺騙毫無戒心的用戶下載帶有BazarLoader惡意軟件威脅的損壞文檔。這種特殊的攻擊方式出現在2021年初。從本質上講,這是信息安全研究人員指定為BazarCall的新型網絡釣魚方法。

網絡犯罪分子散佈垃圾郵件消息,聲稱不存在的試用版或演示版訂閱即將到期,從而導致向用戶的信用卡/借記卡付款。到目前為止,醫療,製藥,內衣,花卉或防病毒領域的公司發送的電子郵件似乎濫用了廣泛的服務。但是,最新的廣告活動所傳遞的消息據說是來自名為BravoMovies的流服務。該操作是由Proofpoint的信息安全研究人員發現的,並將其追踪為BazaFlix。

BazaFlix詳細信息

誘餌電子郵件遵循相同的模式-他們聲稱,用戶對BravoMovies的試用/演示訂閱(在電子郵件中被描述為地球上的主要流媒體服務之一)即將到期,並將向該用戶轉發39.99美元的費用自動提供付款卡以進行高級升級。要取消此過程,電子郵件會指導用戶撥打提供的客戶服務電話號碼。

這樣做會將受影響的用戶連接到為黑客服務的呼叫中心。然後,電話運營商將通過引導用戶訪問名為UrbanCinema的公司提供所謂的" BravoMovies"流媒體和電視服務的特製網站,從而贏得呼叫者的信任並提高操作的合法性。該網站通過來自不同公共來源的若干電影海報(包括廣告代理商,Behance社交媒體網絡和《如何偷狗》一書)而正式亮相。

在說明中,呼叫中心接線員將告訴呼叫者將Excel文檔下載到他們的計算機上。這個武器化的文件包含損壞的宏,這些宏最終會將BazarLoader惡意軟件丟棄到系統上。儘管這種特殊威脅幾乎完全用作下一階段有效載荷的傳遞工具,但信息安全研究人員仍無法觀察到這種第二階段惡意軟件是作為BazaFlix攻擊的一部分而傳遞的。

TrickBot連接

BazarLoader與較舊的名為TrickBot Trojan的惡意軟件威脅具有重大的代碼相似性。網絡安全研究人員充滿信心地相信TrcikBot團伙還負責創建BazarLoader。黑客組織負責針對企業目標的多次攻擊,這些攻擊涉及將Ryuk RansomwareConti Ransomware等勒索軟件交付給受感染的系統。 BazarLoader在攻擊中用作丟棄勒索軟件有效載荷的工具。應當注意,呼叫中心可能不會由必須執行該操作的同一黑客組來操作。完全有可能由完全不同的威脅參與者將呼叫中心作為服務提供。