Microsoft rastrea una nueva campaña de malware mediante una estafa de centro de llamadas
Los investigadores de seguridad de la división de ciberseguridad de Microsoft advierten al público sobre un nuevo ataque de malware en dos etapas que, en última instancia, busca implementar ransomware en el sistema de la víctima. Los actores de amenazas que ejecutan la campaña de malware están utilizando operadores telefónicos reales para difundir el malware.
El primer paso del ataque de malware consiste en que la víctima reciba un correo electrónico de phishing. El texto del correo electrónico utiliza ingeniosa ingeniería social para asustar a las víctimas y ponerlas en acción. La carta insta al destinatario a llamar a un número de teléfono de soporte falso para cancelar una suscripción de prueba que supuestamente pasará automáticamente a una paga si no se cancela explícitamente.
Una vez que el usuario llama a la línea de soporte del centro de llamadas falso, es contactado por un operador en vivo que trabaja con la banda de malware. El operador telefónico le indica a la víctima que visite un sitio web donde necesita descargar un archivo de Excel para completar si desea cancelar su suscripción inexistente.
Cuando el usuario descarga y abre el archivo de Excel, una macro maliciosa contenida en el archivo de hoja de cálculo descarga la carga útil principal. El malware utilizado se llama BazarLoader e instala una puerta trasera que los delincuentes pueden usar más tarde para ejecutar una variedad de tareas maliciosas. La puerta trasera les da a los piratas informáticos la capacidad de cargar malware adicional en el sistema de la víctima, extraer información de él y encontrar y explotar otras máquinas vulnerables conectadas a la misma red.
Aunque los diferentes correos electrónicos de phishing utilizan diferentes suscripciones falsas como cebo, Microsoft está lógicamente más centrado en los correos electrónicos que falsifican una suscripción a Office 365 y se dirigen a los usuarios de Office. Otro desafío que Microsoft destaca en su publicación sobre la campaña de malware es lo difícil que es para el software anti-malware detectar que el correo electrónico de phishing original es malicioso. El cebo de phishing no contiene archivos adjuntos maliciosos ni enlaces directos a dominios y URL maliciosos, lo que dificulta la detección temprana y la marcación del correo electrónico como malicioso.
Además, Microsoft notó que el mismo grupo de malware que ejecuta la campaña BazarLoader también usa el kit de prueba de penetración CobaltStrike. Tiene el propósito de robar las credenciales de los usuarios, así como el movimiento lateral a través de una red después de que un solo sistema host en ella ha sido violado y comprometido.
