Мошенничество с BazarLoader нацелено на жертв с поддельными электронными письмами колл-центра
Microsoft Security Intelligence предупреждает о мошенничестве, которое заражает жертв вредоносными программами, используя электронные письма, чтобы заставить получателей звонить в фальшивый колл-центр. Это многоаспектная атака, получившая название «BazarCall» из-за распространяемого вредоносного ПО BazarLoader (иногда известного как BazaLoader). Microsoft Security Intelligence привлекла внимание общественности серией твитов, подробно описывающих метод атаки.
Мы отслеживаем активную кампанию вредоносного ПО BazaCall, ведущую к атакам, управляемым человеком, и развертыванию программ-вымогателей. Кампании BazaCall используют электронные письма, которые побуждают получателей позвонить по номеру, чтобы отменить их предполагаемую подписку на определенную услугу. pic.twitter.com/RS5wGSndhv
— Microsoft Security Intelligence (@MsftSecIntel) 22 июня 2021 г.
Базовая атака выглядит следующим образом:
- Target получает электронное письмо от мошенников, в котором говорится, что им нужно позвонить, чтобы отменить подписку или отменить платеж, сделанный на их кредитную карту, или что-то в этом роде.
- Жертва звонит мошенникам, которые затем отправляют вредоносное вложение, которое жертва открывает.
- Как только цель включает макросы в документе (обычно файле Excel), они заражаются BazarLoader.
- BazarLoader начинает обмениваться данными со своим сервером управления и контроля и участвовать в действиях после эксплуатации.
Эта конкретная новость была доведена до сведения этого репортера, потому что, по странной иронии судьбы, TechGenix является одним из многих предприятий, имя которых использовалось в этой фальшивой афере с колл-центром. По словам читателя, связавшегося с нами, одним из многих способов, с помощью которых эти «колл-центры» привлекают внимание людей, являются фальшивые счета-фактуры. Приведенный ниже скриншот поддельного счета-фактуры TechGenix доказывает это.
Подразделение 42 компании Palo Alto Networks опубликовало подробный исследовательский пост об этой конкретной кампании. В анализе упоминается, как вредоносное ПО BazarLoader функционирует на этапе заражения и после эксплуатации:
После включения макросов в загруженном файле Excel библиотека BazarLoader удаляется и создает URL-адрес, содержащий строку campo. Этот тип URL-адреса называется Campo Loader, который действует как шлюз, перенаправляющий трафик на вредоносное ПО.
BazarLoader обеспечивает бэкдор-доступ к зараженному хосту Windows. В некоторых случаях Cobalt Strike рассматривается как последующая вредоносная программа, ведущая к другим вредоносным программам, таким как Anchor. Публично задокументировано как минимум два случая, когда вредоносное ПО BazarLoader приводило к Cobalt Strike, а затем к вредоносному ПО Anchor. Один случай произошел в феврале 2021 года, а другой случай произошел в марте 2021 года.
Однако BazarLoader не ограничивается только Cobalt Strike и Anchor в качестве последующих вредоносных программ. В 2020 году появились сообщения о том, что BazarLoader приводит к вымогателям, таким как Ryuk. Бэкдор-доступ к зараженному хосту Windows может привести к любому семейству вредоносных программ.
Одна из проблем с предотвращением этого мошенничества заключается в том, что, поскольку в электронной почте нет вредоносного ПО, оно часто проходит через антивирусные и антиспамовые фильтры. Как и в случае с кампаниями социальной инженерии, подобными этой, всегда исследуйте, кто с вами связывается. Если кто-то утверждает, что вы подписаны на что-то, о чем вы никогда не слышали, скорее всего, это мошенничество.