BazarCall惡意軟件

BazarCall惡意軟件（或BazaCall）是一種特洛伊木馬，專門用於針對公司實體的網絡分發高級後門特洛伊木馬和遠程訪問特洛伊木馬（RAT）。它的威脅參與者使用呼叫中心策略（包括實時電話支持）來誘騙用戶打開損壞的Excel文檔。員工應避免使用與此活動相關的電話號碼和站點，並運行值得信賴的反惡意軟件來刪除BazarCall惡意軟件或相關威脅，例如BazarBackdoor。

只會導致公司破壞的電話

儘管文件鎖定特洛伊木馬和高級間諜軟件是針對公司網絡的毫無疑問的有效載荷，但攻擊者用於部署的策略卻很靈活。 BazarCall惡意軟件是該戰略轉變的一個特別新穎的點，有證據表明BazarCall惡意軟件自2021年1月以來就已經存在。儘管BazarCall惡意軟件提供了複雜而傳統的威脅，但它的實現方式是通過大量投資，"黑帽"業務。 '

BazarCall惡意軟件的商業模式是一種明顯的軟件分發方案，該方案將其特洛伊木馬程序安裝服務出售給其他威脅行為者。從受害者的角度來看，與許多其他攻擊一樣，攻擊是從基於欺詐的電子郵件開始的。文本聲稱免費軟件試用版已接近到期日期，為防止產生任何費用，需要手動取消。該電子郵件不包含附件或網站鏈接，而是引導用戶撥打一系列快速循環的電話號碼。

該號碼會導致由專門的戰術藝術家管理的虛假呼叫中心，並在周一至週五提供專業的工作程序。攻擊者在將受害者帶到網站上下載取消表格之前，先驗證了電子郵件ID（為避免對安全研究人員進行探測），這是一種偽裝的BazarCall惡意軟件下載機制，從感染鏈開始。

掛斷企業破壞型木馬

BazarCall惡意軟件的全部功能需要更多的分析，並且由於其新穎的分發策略，因此樣品短缺。但是，惡意軟件研究人員可以確認其作為Trojan下載程序的功能，可以將其他威脅丟棄到系統上，並幫助攻擊者接管公司網絡。 BazarCall惡意軟件的有效負載隨假定的會員租賃者而變化，包括BazarLoader（用於BazarBackdoor的加載組件），Trojan.TrickBot間諜軟件以及殭屍網絡銀行Trojan，IcedID。

BazarCall惡意軟件感染的直接影響包括密碼和其他憑據的丟失，攻擊者幾乎可以肯定，密碼和其他憑據可以用來保護對網絡的後門訪問，以進行長期間諜活動。攻擊者還存在很大的風險，即部署文件鎖特洛伊木馬來加密數據，例如公司的文檔和數據庫。出於所有實際考慮，加密通常是不可逆的。

像往常一樣，受害者可以拒絕啟用Excel宏，該宏觸發下載驅動器或在戰術的前一點停止。但是，由於實時呼叫中心策略是威脅參與者的一種新穎的基礎結構，因此報告表明，BazarCall惡意軟件感染嘗試具有很高的成功率。用戶還應該更新其反惡意軟件服務，以安全刪除BazarCall惡意軟件及其加載文檔。

BazarCall惡意軟件是一個經過深思熟慮的黑帽企業，它利用圍繞網絡安全供應商的基礎架構來滿足其他罪犯的需求。理想情況下，處於高風險行業的員工會在相關電子郵件到達收件箱之前通知自己有關新策略的信息。