Microsoft sporer ny skadelig kampanje ved bruk av Call Center Scam

Sikkerhetsforskere med Microsofts cybersikkerhetsdivisjon advarer publikum om et nytt to-trinns malware-angrep som til slutt søker å distribuere ransomware på offerets system. Trusselaktørene som kjører malware-kampanjen, bruker ekte telefonoperatører for å spre malware.

Det første trinnet i malwareangrepet innebærer at offeret mottar en phishing-e-post. E-postens tekst bruker smart sosial engineering for å skremme ofrene til handling. Brevet oppfordrer mottakeren til å ringe et falskt telefonnummer for support for å kansellere et prøveabonnement som tilsynelatende automatisk overgår til en betalt hvis ikke eksplisitt kansellert.

Når brukeren ringer den falske kundesenterstøttelinjen, blir de kontaktet av en liveoperatør som jobber med malware-gjengen. Telefonoperatøren instruerer offeret om å besøke et nettsted der de trenger å laste ned en Excel-fil for å fylle ut hvis de vil si opp abonnementet som ikke eksisterer.

Når brukeren laster ned og åpner Excel-filen, laster en ondsinnet makro i regnearkfilen ned den viktigste nyttelasten. Skadelig programvare heter BazarLoader og installerer en bakdør som de kriminelle senere kan bruke til å utføre en rekke ondsinnede oppgaver. Bakdøren gir hackerne muligheten til å laste opp ytterligere skadelig programvare til offeret, skrape informasjon fra det, samt finne og utnytte andre sårbare maskiner som er koblet til det samme nettverket.

Selv om forskjellige phishing-e-poster bruker forskjellige falske abonnementer som agn, er Microsoft logisk sett mest fokusert på e-post som forfalsker et Office 365-abonnement og retter seg mot Office-brukere. En annen utfordring som Microsoft fremhever i innlegget sitt om skadelig kampanje, er hvor vanskelig det er for anti-malware-programvare å oppdage at den opprinnelige phishing-e-posten er skadelig. Phishing-agnet inneholder ingen ondsinnede vedlegg eller noen direkte lenker til ondsinnede domener og URL-er, noe som gjør tidlig oppdagelse og rapportering av e-post som skadelig spesielt vanskelig.

I tillegg la Microsoft merke til at den samme skadegruppegruppen som kjører BazarLoader-kampanjen, også bruker CobaltStrike penetrasjonstestsett. Det tjener formålet med å stjele brukerlegitimasjon, samt lateral bevegelse over et nettverk etter at et enkelt vertssystem på det har blitt brutt og kompromittert.