I falsi call center inducono gli utenti a installare ransomware e ladri di dati

Una sofisticata campagna dannosa, nota come "BazaCall", sta prendendo di mira utenti ignari impiegando falsi call center per diffondere malware pericolosi. Invece di affidarsi a tattiche tradizionali come URL dannosi o allegati infetti, questi aggressori utilizzano un approccio di phishing vocale (vishing) , inducendo le vittime a scaricare malware in grado di esfiltrare dati e persino distribuire ransomware.
Table of Contents
Come funziona BazaCall
La campagna BazaCall inizia con un'e-mail ingannevole che avvisa i destinatari di un imminente addebito di abbonamento. Per risolvere il problema, l'e-mail chiede al destinatario di chiamare un numero specifico. Chi cade nella trappola finisce per parlare con un agente in carne e ossa in un call center fraudolento, dove viene condotto attraverso una serie di passaggi che portano al download del malware BazaLoader.
BazaLoader, noto anche come BazarBackdoor, è un potente strumento per gli hacker . Scritto in C++, agisce come un downloader che installa altri software dannosi sui computer infetti. Questo malware è in grado di esfiltrare informazioni sensibili e può aprire la strada a minacce aggiuntive, come ransomware come Ryuk e Conti. Identificato per la prima volta nell'aprile 2020, BazaLoader è stato utilizzato da più gruppi di criminali informatici per la sua versatilità e furtività.
Secondo il Microsoft 365 Defender Threat Intelligence Team, una volta che BazaLoader si infiltra in un sistema, gli aggressori possono ottenere l'accesso a dati critici, rubare credenziali e avviare attacchi ransomware, il tutto entro 48 ore dall'infezione iniziale.
Il fascino pericoloso degli attacchi guidati dall’uomo
Uno dei motivi per cui BazaCall è così insidioso è l'uso di operatori umani per ingannare le vittime e fargli scaricare malware. Poiché le email di phishing non contengono i soliti link o allegati dannosi, è molto più difficile per il software di sicurezza rilevare e bloccare questi attacchi.
Gli aggressori dietro BazaCall hanno persino sviluppato metodi di infezione sofisticati. All'inizio del 2023, i ricercatori di Palo Alto Networks e Proofpoint hanno scoperto un'operazione che induceva gli utenti a visitare siti Web per falsi servizi di ebook e piattaforme di streaming di film. Una volta su questi siti fraudolenti, le vittime venivano incoraggiate a scaricare fogli di calcolo Excel truccati con il malware BazaLoader.
L'attacco più recente, scoperto da Microsoft, prevede una tattica simile. Gli agenti del call center indirizzano le vittime a un sito Web di ricette falso (topcooks[.]us), dove il malware viene distribuito discretamente come parte di un processo di "annullamento dell'abbonamento di prova". Il coinvolgimento di agenti del call center in tempo reale aggiunge un livello di ingegneria sociale che rende BazaCall ancora più pericoloso.
Difendersi dalle campagne BazaCall
La catena di attacchi BazaCall dimostra la crescente sofisticatezza delle campagne malware, in cui l'interazione umana diventa una parte fondamentale della strategia. A differenza degli attacchi malware automatizzati, questo approccio pratico rende più difficile per le organizzazioni rilevare e rispondere rapidamente alle minacce.
Per difendersi da attacchi così complessi, gli esperti sottolineano la necessità di una sicurezza cross-domain e di forti correlazioni tra diversi eventi per sviluppare una difesa completa. Il monitoraggio di comunicazioni in uscita insolite, la formazione sulla consapevolezza dei dipendenti e la vigilanza su addebiti di abbonamento sospetti sono solo alcuni dei passaggi proattivi per combattere queste minacce.
La sicurezza informatica continua a evolversi, ma lo fanno anche le tattiche degli aggressori. Vigilanza e difese multistrato sono essenziali per proteggersi dalle campagne malware sempre più intricate come BazaCall.