Microsoft verfolgt neue Malware-Kampagne mit Callcenter-Betrug
Sicherheitsforscher der Cybersicherheitsabteilung von Microsoft warnen die Öffentlichkeit vor einem neuen zweistufigen Malware-Angriff, bei dem letztendlich Ransomware auf dem System des Opfers bereitgestellt werden soll. Die Bedrohungsakteure, die die Malware-Kampagne durchführen, nutzen echte Telefonanbieter, um die Malware zu verbreiten.
Der erste Schritt des Malware-Angriffs besteht darin, dass das Opfer eine Phishing-E-Mail erhält. Der Text der E-Mail verwendet cleveres Social Engineering, um die Opfer zu erschrecken. Der Brief fordert den Empfänger auf, eine gefälschte Support-Telefonnummer anzurufen, um ein Probeabonnement zu kündigen, das angeblich automatisch auf ein kostenpflichtiges übergeht, wenn es nicht ausdrücklich gekündigt wird.
Sobald der Benutzer die gefälschte Callcenter-Support-Hotline anruft, wird er von einem Live-Operator kontaktiert, der mit der Malware-Gang zusammenarbeitet. Der Telefonanbieter weist das Opfer an, eine Website zu besuchen, auf der es eine Excel-Datei herunterladen muss, um es auszufüllen, wenn es sein nicht vorhandenes Abonnement kündigen möchte.
Wenn der Benutzer die Excel-Datei herunterlädt und öffnet, lädt ein bösartiges Makro, das in der Tabellenkalkulationsdatei enthalten ist, die Hauptnutzlast herunter. Die verwendete Malware heißt BazarLoader und installiert eine Hintertür, mit der die Kriminellen später verschiedene bösartige Aufgaben ausführen können. Die Hintertür gibt den Hackern die Möglichkeit, zusätzliche Malware auf das Opfersystem hochzuladen, Informationen daraus abzukratzen sowie andere anfällige Computer zu finden und auszunutzen, die mit demselben Netzwerk verbunden sind.
Obwohl verschiedene Phishing-E-Mails verschiedene gefälschte Abonnements als Köder verwenden, konzentriert sich Microsoft logischerweise am meisten auf E-Mails, die ein Office 365-Abonnement fälschen und auf Office-Benutzer abzielen. Eine weitere Herausforderung, die Microsoft in seinem Beitrag über die Malware-Kampagne hervorhebt, ist, wie schwer es für Anti-Malware-Software ist, zu erkennen, dass die ursprüngliche Phishing-E-Mail bösartig ist. Der Phishing-Köder enthält weder bösartige Anhänge noch direkte Links zu bösartigen Domains und URLs, was eine frühzeitige Erkennung und Kennzeichnung der E-Mail als bösartig erschwert.
Darüber hinaus stellte Microsoft fest, dass dieselbe Malware-Gruppe, die die BazarLoader-Kampagne ausführt, auch das CobaltStrike-Penetrationstest-Kit verwendet. Es dient dem Diebstahl von Benutzeranmeldeinformationen sowie der seitlichen Bewegung über ein Netzwerk, nachdem ein einzelnes Hostsystem darin verletzt und kompromittiert wurde.
