De faux centres d'appels incitent les utilisateurs à installer des ransomwares et des voleurs de données
Une campagne malveillante sophistiquée, connue sous le nom de « BazaCall », cible les utilisateurs peu méfiants en utilisant de faux centres d'appels pour diffuser des programmes malveillants dangereux. Au lieu de s'appuyer sur des tactiques traditionnelles telles que des URL malveillantes ou des pièces jointes infectées, ces attaquants utilisent une approche de phishing vocal (vishing) , incitant les victimes à télécharger des programmes malveillants capables d'exfiltrer des données et même de déployer des ransomwares.
Table of Contents
Comment fonctionne BazaCall
La campagne BazaCall commence par un e-mail trompeur qui avertit les destinataires d'un abonnement à payer. Pour résoudre le problème, l'e-mail demande au destinataire d'appeler un numéro spécifique. Ceux qui tombent dans le piège finissent par parler à un agent en direct d'un centre d'appel frauduleux, où ils sont guidés à travers une série d'étapes qui aboutissent au téléchargement du malware BazaLoader.
BazaLoader, également connu sous le nom de BazarBackdoor, est un outil puissant pour les pirates informatiques . Écrit en C++, il agit comme un téléchargeur qui installe d'autres logiciels malveillants sur les ordinateurs infectés. Ce malware est capable d'exfiltrer des informations sensibles et peut ouvrir la voie à des menaces supplémentaires, telles que des ransomwares comme Ryuk et Conti. Identifié pour la première fois en avril 2020, BazaLoader a été utilisé par de nombreux groupes de cybercriminels en raison de sa polyvalence et de sa furtivité.
Selon l’équipe de renseignement sur les menaces de Microsoft 365 Defender, une fois que BazaLoader s’infiltre dans un système, les attaquants peuvent accéder à des données critiques, voler des informations d’identification et lancer des attaques de ransomware, le tout dans les 48 heures suivant l’infection initiale.
L’attrait dangereux des attaques menées par des humains
L'une des raisons pour lesquelles BazaCall est si insidieux est le recours à des opérateurs humains pour inciter les victimes à télécharger des logiciels malveillants. Étant donné que les e-mails de phishing ne contiennent pas les liens ou pièces jointes malveillants habituels, il est beaucoup plus difficile pour les logiciels de sécurité de détecter et de bloquer ces attaques.
Les pirates à l’origine de BazaCall ont même développé des méthodes d’infection sophistiquées. Début 2023, des chercheurs de Palo Alto Networks et de Proofpoint ont dévoilé une opération qui incitait les utilisateurs à visiter des sites Web de faux services de livres électroniques et de plateformes de streaming de films. Une fois sur ces sites frauduleux, les victimes étaient encouragées à télécharger des feuilles de calcul Excel truquées avec le malware BazaLoader.
L'attaque la plus récente, découverte par Microsoft, utilise une tactique similaire. Les agents du centre d'appels dirigent les victimes vers un faux site de recettes (topcooks[.]us), où le logiciel malveillant est discrètement déployé dans le cadre d'un processus de « résiliation d'abonnement d'essai ». L'implication d'agents du centre d'appels en direct ajoute une couche d'ingénierie sociale qui rend BazaCall encore plus dangereux.
Se défendre contre les campagnes BazaCall
La chaîne d'attaque BazaCall démontre la sophistication croissante des campagnes de malware, où l'interaction humaine devient un élément clé de la stratégie. Contrairement aux attaques automatisées de malware, cette approche pratique rend plus difficile pour les organisations de détecter et de réagir rapidement aux menaces.
Pour se défendre contre des attaques aussi complexes, les experts soulignent la nécessité d'une sécurité inter-domaines et de corrélations fortes entre les différents événements afin de développer une défense complète. La surveillance des communications sortantes inhabituelles, la formation des employés à la sensibilisation et la vigilance face aux frais d'abonnement suspects ne sont que quelques-unes des mesures proactives pour lutter contre ces menaces.
La cybersécurité continue d'évoluer, tout comme les tactiques des attaquants. La vigilance et les défenses multicouches sont essentielles pour se protéger contre les campagnes de malwares de plus en plus complexes comme BazaCall.
