Η Microsoft παρακολουθεί νέα καμπάνια κακόβουλου λογισμικού χρησιμοποιώντας απάτη στο Call Center

Οι ερευνητές ασφαλείας με το τμήμα κυβερνοασφάλειας της Microsoft προειδοποιούν το κοινό σχετικά με μια νέα επίθεση κακόβουλου λογισμικού δύο σταδίων που επιδιώκει τελικά να αναπτύξει ransomware στο σύστημα του θύματος. Οι παράγοντες απειλής που εκτελούν την καμπάνια κακόβουλου λογισμικού χρησιμοποιούν πραγματικούς χειριστές τηλεφώνων για τη διάδοση του κακόβουλου λογισμικού.

Το πρώτο βήμα της επίθεσης με κακόβουλο λογισμικό περιλαμβάνει το θύμα που λαμβάνει ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος (phishing). Το κείμενο του email χρησιμοποιεί έξυπνη κοινωνική μηχανική για να τρομάξει τα θύματα σε δράση. Η επιστολή καλεί τον παραλήπτη να καλέσει έναν ψεύτικο αριθμό τηλεφώνου υποστήριξης για να ακυρώσει μια δοκιμαστική συνδρομή η οποία υποτίθεται ότι θα μεταβεί αυτόματα σε πληρωμένη, εάν δεν ακυρωθεί ρητά.

Μόλις ο χρήστης τηλεφωνήσει στην ψεύτικη γραμμή υποστήριξης του τηλεφωνικού κέντρου, επικοινωνεί με έναν ζωντανό χειριστή που συνεργάζεται με τη συμμορία κακόβουλου λογισμικού. Ο χειριστής τηλεφώνου δίνει εντολή στο θύμα να επισκεφθεί έναν ιστότοπο όπου πρέπει να κατεβάσει ένα αρχείο Excel για να το συμπληρώσει εάν θέλει να ακυρώσει την ανύπαρκτη συνδρομή του.

Όταν ο χρήστης κάνει λήψη και άνοιγμα του αρχείου Excel, μια κακόβουλη μακροεντολή που περιέχεται στο αρχείο υπολογιστικού φύλλου κατεβάζει το κύριο ωφέλιμο φορτίο. Το κακόβουλο λογισμικό που χρησιμοποιείται ονομάζεται BazarLoader και εγκαθιστά μια πίσω πόρτα την οποία οι εγκληματίες μπορούν αργότερα να χρησιμοποιήσουν για να εκτελέσουν μια ποικιλία κακόβουλων εργασιών. Το backdoor δίνει στους χάκερ τη δυνατότητα να ανεβάζουν επιπλέον κακόβουλα προγράμματα στο σύστημα των θυμάτων, να αποσύρουν πληροφορίες από αυτό, καθώς και να βρίσκουν και να εκμεταλλεύονται άλλα ευάλωτα μηχανήματα που είναι συνδεδεμένα στο ίδιο δίκτυο.

Παρόλο που διαφορετικά ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος χρησιμοποιούν διαφορετικές ψεύτικες συνδρομές ως δόλωμα, η Microsoft λογικά εστιάζεται περισσότερο σε μηνύματα ηλεκτρονικού ταχυδρομείου που πλαστογραφούν μια συνδρομή στο Office 365 και στοχεύουν χρήστες του Office. Μια άλλη πρόκληση που επισημαίνει η Microsoft στην ανάρτησή της σχετικά με την καμπάνια κακόβουλου λογισμικού είναι πόσο δύσκολο είναι για το λογισμικό προστασίας από κακόβουλο λογισμικό να εντοπίσει ότι το αρχικό email ηλεκτρονικού ψαρέματος είναι κακόβουλο. Το δόλωμα ηλεκτρονικού "ψαρέματος" δεν περιέχει κακόβουλα συνημμένα ούτε άμεσους συνδέσμους προς κακόβουλους τομείς και διευθύνσεις URL, γεγονός που καθιστά την έγκαιρη ανίχνευση και επισήμανση του μηνύματος ηλεκτρονικού ταχυδρομείου ως κακόβουλη, ιδιαίτερα δύσκολη.

Επιπλέον, η Microsoft παρατήρησε ότι η ίδια ομάδα κακόβουλου λογισμικού που εκτελεί την καμπάνια BazarLoader χρησιμοποιεί επίσης το κιτ δοκιμής διείσδυσης CobaltStrike. Εξυπηρετεί το σκοπό της κλοπής των διαπιστευτηρίων χρήστη, καθώς και της πλευρικής κίνησης σε ένα δίκτυο μετά από παραβίαση και παραβίαση ενός συστήματος κεντρικού υπολογιστή σε αυτό.