Microsoft volgt nieuwe malwarecampagne met behulp van callcenterzwendel
Beveiligingsonderzoekers van de cyberbeveiligingsafdeling van Microsoft waarschuwen het publiek voor een nieuwe malware-aanval in twee fasen die uiteindelijk tot doel heeft ransomware op het systeem van het slachtoffer te implementeren. De dreigingsactoren die de malwarecampagne uitvoeren, gebruiken echte telefoonoperators om de malware te verspreiden.
De eerste stap van de malware-aanval houdt in dat het slachtoffer een phishing-e-mail ontvangt. De tekst van de e-mail maakt gebruik van slimme social engineering om de slachtoffers tot actie aan te zetten. De brief dringt er bij de ontvanger op aan om een nep-ondersteuningstelefoonnummer te bellen om een proefabonnement op te zeggen dat zogenaamd automatisch overgaat naar een betaald abonnement als het niet expliciet wordt geannuleerd.
Zodra de gebruiker de nep-supportlijn van het callcenter belt, wordt er contact met hem opgenomen door een live-operator die samenwerkt met de malwarebende. De telefoniste instrueert het slachtoffer om een website te bezoeken waar ze een Excel-bestand moeten downloaden om in te vullen als ze hun niet-bestaande abonnement willen opzeggen.
Wanneer de gebruiker het Excel-bestand downloadt en opent, downloadt een schadelijke macro in het spreadsheetbestand de belangrijkste payload. De gebruikte malware heet BazarLoader en installeert een achterdeur die de criminelen later kunnen gebruiken om verschillende kwaadaardige taken uit te voeren. De achterdeur geeft de hackers de mogelijkheid om extra malware naar het slachtoffersysteem te uploaden, er informatie van te schrapen en andere kwetsbare machines te vinden en te exploiteren die op hetzelfde netwerk zijn aangesloten.
Hoewel verschillende phishing-e-mails verschillende nep-abonnementen als lokaas gebruiken, is Microsoft logischerwijs het meest gefocust op e-mails die een Office 365-abonnement vervalsen en gericht zijn op Office-gebruikers. Een andere uitdaging die Microsoft benadrukt in zijn bericht over de malwarecampagne, is hoe moeilijk het is voor antimalwaresoftware om te ontdekken dat de oorspronkelijke phishing-e-mail kwaadaardig is. Het phishing-aas bevat geen kwaadaardige bijlagen of directe links naar kwaadaardige domeinen en URL's, wat vroege detectie en het markeren van de e-mail als kwaadaardig bijzonder moeilijk maakt.
Bovendien merkte Microsoft op dat dezelfde malwaregroep die de BazarLoader-campagne uitvoert, ook de CobaltStrike-penetratietestkit gebruikt. Het dient om gebruikersreferenties te stelen, evenals zijwaartse beweging over een netwerk nadat een enkel hostsysteem erop is gehackt en gecompromitteerd.
