Microsoft sporer ny malware-kampagne ved hjælp af Call Center-fidus
Sikkerhedsforskere med Microsofts cybersikkerhedsafdeling advarer offentligheden om et nyt to-trins malware-angreb, der i sidste ende søger at implementere ransomware på ofrets system. Trusselsaktørerne, der kører malware-kampagnen, bruger ægte telefonoperatører til at sprede malware.
Det første trin i malwareangrebet involverer offeret en phishing-e-mail. E-mail-teksten bruger smart social engineering til at skræmme ofrene til handling. Brevet opfordrer modtageren til at ringe til et falsk supporttelefonnummer for at annullere et prøveabonnement, der angiveligt automatisk overgår til et betalt, hvis det ikke udtrykkeligt annulleres.
Når brugeren ringer til den falske callcenter-supportlinje, kontaktes de af en live operatør, der arbejder med malware-banden. Telefonoperatøren instruerer offeret om at besøge et websted, hvor de har brug for at downloade en Excel-fil for at udfylde, hvis de ønsker at annullere deres ikke-eksisterende abonnement.
Når brugeren downloader og åbner Excel-filen, downloader en ondsindet makro indeholdt i regnearkfilen den vigtigste nyttelast. Den anvendte malware hedder BazarLoader og installerer en bagdør, som de kriminelle senere kan bruge til at udføre en række ondsindede opgaver. Bagdøren giver hackerne mulighed for at uploade yderligere malware til offersystemet, skrabe information fra det samt finde og udnytte andre sårbare maskiner, der er forbundet til det samme netværk.
Selvom forskellige phishing-e-mails bruger forskellige falske abonnementer som lokkemad, er Microsoft logisk set mest fokuseret på e-mails, der spoofer et Office 365-abonnement og målretter mod Office-brugere. En anden udfordring, som Microsoft fremhæver i sit indlæg om malware-kampagnen, er, hvor svært det er for anti-malware-software at få øje på, at den oprindelige phishing-e-mail er ondsindet. Phishing-lokkemad indeholder ikke ondsindede vedhæftede filer eller direkte links til ondsindede domæner og URL'er, hvilket gør tidlig opdagelse og markering af e-mailen som ondsindet særlig vanskelig.
Derudover bemærkede Microsoft, at den samme malware-gruppe, der kører BazarLoader-kampagnen, også bruger CobaltStrike penetrationstestsæt. Det tjener formålet med at stjæle brugeroplysninger samt lateral bevægelse over et netværk, efter at et enkelt værtssystem på det er blevet brudt og kompromitteret.
