A Microsoft nyomon követi az új rosszindulatú kampányokat a Call Center átverés segítségével

A Microsoft kiberbiztonsági részlegével foglalkozó biztonsági kutatók egy új, kétlépcsős kártevő-támadásra figyelmeztetik a nyilvánosságot, amely végül ransomware-t kíván telepíteni az áldozat rendszerére. A rosszindulatú programok kampányát futtató fenyegetési szereplők valódi telefonszolgáltatókat használnak a rosszindulatú programok terjesztésére.

A rosszindulatú programok elleni támadás első lépésében az áldozat adathalász e-mailt kap. Az e-mail szövege okos szociális mérnöki munkával ijesztgeti az áldozatokat a cselekvésre. A levél arra kéri a címzettet, hogy hívjon fel egy hamis támogatási telefonszámot annak érdekében, hogy törölje a próbaverziót, amely állítólag automatikusan áttér egy fizetősre, ha nincs kifejezetten lemondva.

Amint a felhasználó telefonál a hamis telefonos ügyfélszolgálathoz, kapcsolatba lép egy élő szolgáltatóval, aki a kártevő bandával dolgozik. A telefonszolgáltató utasítja az áldozatot, hogy látogasson el egy weboldalra, ahová le kell töltenie egy Excel fájlt a kitöltésre, ha le akarja mondani a nem létező előfizetését.

Amikor a felhasználó letölti és megnyitja az Excel fájlt, a táblázatfájlban található rosszindulatú makró letölti a fő hasznos terhet. A felhasznált kártevő a BazarLoader nevet viseli, és egy hátsó ajtót telepít, amelyet a bűnözők később különféle rosszindulatú feladatok végrehajtására használhatnak. A hátsó ajtó lehetővé teszi a hackerek számára, hogy további rosszindulatú programokat töltsenek fel az áldozatok rendszerébe, információkat kaparintsanak belőle, valamint megtalálják és kihasználják az ugyanahhoz a hálózathoz csatlakozó egyéb sebezhető gépeket.

Annak ellenére, hogy a különböző adathalász e-mailek különböző hamis előfizetéseket használnak csaliként, a Microsoft logikusan leginkább azokra az e-mailekre összpontosít, amelyek hamisítanak egy Office 365-előfizetést és megcélozzák az Office felhasználókat. Egy másik kihívás, amelyet a Microsoft kiemel a rosszindulatú programokkal kapcsolatos kampányáról, az az, hogy a rosszindulatú programok elleni szoftvereknek milyen nehéz észrevenniük, hogy az eredeti adathalász e-mail rosszindulatú. Az adathalászat nem tartalmaz rosszindulatú mellékleteket, és nem tartalmaz közvetlen linkeket a rosszindulatú domainekre és URL-ekre, ami különösen megnehezíti az e-mailek rosszindulatúként történő korai felismerését és megjelölését.

Ezenkívül a Microsoft észrevette, hogy ugyanaz a rosszindulatú programok csoportja, amely a BazarLoader kampányt futtatja, a CobaltStrike penetrációs tesztkészletet is használja. Ezt a célt szolgálja a felhasználói hitelesítő adatok ellopása, valamint az oldalirányú mozgás a hálózaton, miután a rajta lévő egyetlen hosztrendszert megsértették és megsértették.