Microsoft tiene traccia della nuova campagna di malware utilizzando la truffa del Call Center
I ricercatori di sicurezza con la divisione di sicurezza informatica di Microsoft stanno avvertendo il pubblico di un nuovo attacco malware in due fasi che alla fine cerca di distribuire ransomware sul sistema della vittima. Gli attori delle minacce che gestiscono la campagna malware utilizzano operatori telefonici reali per diffondere il malware.
Il primo passaggio dell'attacco malware prevede che la vittima riceva un'e-mail di phishing. Il testo dell'e-mail utilizza un'intelligente ingegneria sociale per spaventare le vittime all'azione. La lettera esorta il destinatario a chiamare un numero di telefono di supporto falso per annullare un abbonamento di prova che presumibilmente passerà automaticamente a uno a pagamento se non esplicitamente annullato.
Una volta che l'utente chiama la falsa linea di supporto del call center, viene contattato da un operatore dal vivo che lavora con la banda di malware. L'operatore telefonico indica alla vittima di visitare un sito Web in cui è necessario scaricare un file Excel da compilare se desidera annullare l'abbonamento inesistente.
Quando l'utente scarica e apre il file Excel, una macro dannosa contenuta nel file del foglio di calcolo scarica il payload principale. Il malware utilizzato si chiama BazarLoader e installa una backdoor che i criminali possono utilizzare in seguito per eseguire una serie di attività dannose. La backdoor offre agli hacker la possibilità di caricare malware aggiuntivo sul sistema vittima, estrarre informazioni da esso e trovare e sfruttare altre macchine vulnerabili collegate alla stessa rete.
Anche se diverse e-mail di phishing utilizzano diversi abbonamenti falsi come esca, Microsoft è logicamente più focalizzata sulle e-mail che falsificano un abbonamento a Office 365 e prendono di mira gli utenti di Office. Un'altra sfida che Microsoft evidenzia nel suo post sulla campagna malware è quanto sia difficile per il software anti-malware individuare che l'e-mail di phishing originale è dannosa. L'esca di phishing non contiene allegati dannosi né collegamenti diretti a domini e URL dannosi, il che rende particolarmente difficile il rilevamento precoce e la segnalazione dell'e-mail come dannosa.
Inoltre, Microsoft ha notato che lo stesso gruppo di malware che gestisce la campagna BazarLoader utilizza anche il kit di test di penetrazione CobaltStrike. Ha lo scopo di rubare le credenziali dell'utente, nonché il movimento laterale attraverso una rete dopo che un singolo sistema host su di essa è stato violato e compromesso.
