Falske kundesentre lurer brukere til å installere løsepengevare og datatyvere
En sofistikert ondsinnet kampanje, kjent som «BazaCall», retter seg mot intetanende brukere ved å bruke falske kundesentre for å spre farlig skadelig programvare. I stedet for å stole på tradisjonelle taktikker som ondsinnede URL-er eller infiserte vedlegg, bruker disse angriperne en stemmefisking (vishing)-tilnærming , og lurer ofrene til å laste ned skadelig programvare som kan eksfiltrere data og til og med distribuere løsepengeprogramvare.
Table of Contents
Hvordan BazaCall fungerer
BazaCall-kampanjen begynner med en villedende e-post som advarer mottakere om en forestående abonnementsavgift. For å løse problemet ber e-posten mottakeren om å ringe et spesifikt nummer. De som faller for trikset ender opp med å snakke med en live-agent på et uredelig kundesenter, hvor de blir ledet gjennom en rekke trinn som resulterer i nedlasting av BazaLoader malware.
BazaLoader, også kjent som BazarBackdoor, er et kraftig verktøy for hackere . Den er skrevet i C++ og fungerer som en nedlaster som installerer annen skadelig programvare på infiserte datamaskiner. Denne skadevare er i stand til å eksfiltrere sensitiv informasjon og kan bane vei for ytterligere trusler, som løsepengevare som Ryuk og Conti. BazaLoader ble først identifisert i april 2020, og har blitt brukt av flere nettkriminelle grupper på grunn av dens allsidighet og sniking.
I følge Microsoft 365 Defender Threat Intelligence Team, når BazaLoader infiltrerer et system, kan angripere få tilgang til kritiske data, stjele legitimasjon og sette i gang løsepenge-angrep – alt innen 48 timer etter den første infeksjonen.
Den farlige appellen av menneskeledede angrep
En av grunnene til at BazaCall er så lumsk er bruken av menneskelige operatører for å lure ofre til å laste ned skadelig programvare. Siden phishing-e-postene ikke inneholder de vanlige ondsinnede koblingene eller vedleggene, er det mye vanskeligere for sikkerhetsprogramvare å oppdage og blokkere disse angrepene.
Angripere bak BazaCall har til og med utviklet sofistikerte infeksjonsmetoder. Tidligere i 2023 avslørte forskere fra Palo Alto Networks og Proofpoint en operasjon som lurte brukere til å besøke nettsteder for falske e-boktjenester og filmstrømmeplattformer. En gang på disse uredelige nettstedene, ble ofre oppfordret til å laste ned Excel-regneark rigget med BazaLoader malware.
Det siste angrepet, avdekket av Microsoft, involverer en lignende taktikk. Call center-agenter dirigerer ofre til et falskt oppskriftsnettsted (topcooks[.]us), der skadelig programvare blir diskret distribuert som en del av en prosess for "kansellering av prøveabonnement". Engasjementet av live call center-agenter legger til et lag med sosial ingeniørkunst som gjør BazaCall enda farligere.
Forsvar mot BazaCall-kampanjer
BazaCall-angrepskjeden demonstrerer den økende sofistikeringen av malware-kampanjer, der menneskelig interaksjon blir en sentral del av strategien. I motsetning til automatiserte malware-angrep, gjør denne praktiske tilnærmingen det mer utfordrende for organisasjoner å oppdage og reagere raskt på trusler.
For å forsvare seg mot slike komplekse angrep, understreker eksperter behovet for sikkerhet på tvers av domener og sterke korrelasjoner mellom ulike hendelser for å utvikle et omfattende forsvar. Overvåking for uvanlig utgående kommunikasjon, opplæring av ansattes bevissthet og å være på vakt mot mistenkelige abonnementskostnader er bare noen av de proaktive trinnene for å bekjempe disse truslene.
Cybersikkerhet fortsetter å utvikle seg, men det gjør også taktikken til angripere. Årvåkenhet og flerlags forsvar er avgjørende for å beskytte mot stadig mer intrikate skadevarekampanjer som BazaCall.
