Fałszywe centra telefoniczne oszukują użytkowników, by zainstalowali ransomware i programy kradnące dane
Wyrafinowana złośliwa kampania, znana jako „BazaCall”, atakuje niczego niepodejrzewających użytkowników, wykorzystując fałszywe centra telefoniczne do rozprzestrzeniania niebezpiecznego złośliwego oprogramowania. Zamiast polegać na tradycyjnych taktykach, takich jak złośliwe adresy URL lub zainfekowane załączniki, ci atakujący stosują podejście phishingu głosowego (vishing) , oszukując ofiary, aby pobrały złośliwe oprogramowanie, które może wykraść dane, a nawet wdrożyć ransomware.
Table of Contents
Jak działa BazaCall
Kampania BazaCall zaczyna się od oszukańczego e-maila, który ostrzega odbiorców o zbliżającej się opłacie za subskrypcję. Aby rozwiązać problem, e-mail instruuje odbiorcę, aby zadzwonił pod określony numer. Ci, którzy dadzą się nabrać na sztuczkę, kończą na rozmowie z agentem w oszukańczym centrum telefonicznym, gdzie są prowadzeni przez serię kroków, które skutkują pobraniem złośliwego oprogramowania BazaLoader.
BazaLoader, znany również jako BazarBackdoor, to potężne narzędzie dla hakerów . Napisany w C++, działa jako downloader, który instaluje inne złośliwe oprogramowanie na zainfekowanych komputerach. To złośliwe oprogramowanie jest w stanie wykraść poufne informacje i może utorować drogę dla dodatkowych zagrożeń, takich jak ransomware, takie jak Ryuk i Conti. Po raz pierwszy zidentyfikowany w kwietniu 2020 r. BazaLoader był używany przez wiele grup cyberprzestępczych ze względu na swoją wszechstronność i ukrycie.
Według zespołu ds. analizy zagrożeń usługi Microsoft 365 Defender, po przedostaniu się wirusa BazaLoader do systemu, atakujący mogą uzyskać dostęp do kluczowych danych, ukraść dane uwierzytelniające i zainicjować ataki ransomware — wszystko to w ciągu 48 godzin od pierwotnej infekcji.
Niebezpieczna atrakcyjność ataków przeprowadzanych przez ludzi
Jednym z powodów, dla których BazaCall jest tak podstępny, jest wykorzystywanie operatorów ludzkich do oszukiwania ofiar, aby pobierały złośliwe oprogramowanie. Ponieważ wiadomości phishingowe nie zawierają typowych złośliwych linków ani załączników, oprogramowaniu zabezpieczającemu znacznie trudniej jest wykryć i zablokować te ataki.
Atakujący stojący za BazaCall opracowali nawet wyrafinowane metody infekcji. Wcześniej w 2023 r. badacze z Palo Alto Networks i Proofpoint ujawnili operację, która oszukiwała użytkowników, zmuszając ich do odwiedzania witryn internetowych oferujących fałszywe usługi e-booków i platformy streamingowe filmów. Po wejściu na te fałszywe witryny ofiary były zachęcane do pobierania arkuszy kalkulacyjnych Excela zmanipulowanych złośliwym oprogramowaniem BazaLoader.
Najnowszy atak, ujawniony przez Microsoft, obejmuje podobną taktykę. Agenci call center kierują ofiary do fałszywej witryny z przepisami (topcooks[.]us), gdzie złośliwe oprogramowanie jest dyskretnie wdrażane jako część procesu „anulowania subskrypcji próbnej”. Zaangażowanie agentów call center na żywo dodaje warstwę inżynierii społecznej, która sprawia, że BazaCall jest jeszcze bardziej niebezpieczny.
Obrona przed kampaniami BazaCall
Łańcuch ataków BazaCall pokazuje rosnącą wyrafinowaną naturę kampanii malware, w których interakcja międzyludzka staje się kluczową częścią strategii. W przeciwieństwie do zautomatyzowanych ataków malware, to praktyczne podejście sprawia, że organizacjom trudniej jest szybko wykrywać zagrożenia i reagować na nie.
Aby bronić się przed tak złożonymi atakami, eksperci podkreślają potrzebę bezpieczeństwa międzydomenowego i silnych korelacji między różnymi zdarzeniami w celu opracowania kompleksowej obrony. Monitorowanie nietypowej komunikacji wychodzącej, szkolenie pracowników w zakresie świadomości i zachowanie czujności na podejrzane opłaty za subskrypcję to tylko niektóre z proaktywnych kroków w walce z tymi zagrożeniami.
Cyberbezpieczeństwo wciąż ewoluuje, ale tak samo ewoluują taktyki atakujących. Czujność i wielowarstwowe środki obrony są niezbędne do ochrony przed coraz bardziej złożonymi kampaniami malware, takimi jak BazaCall.
