Microsoft śledzi nową kampanię złośliwego oprogramowania za pomocą oszustwa Call Center

Badacze bezpieczeństwa z działu cyberbezpieczeństwa Microsoftu ostrzegają opinię publiczną przed nowym dwuetapowym atakiem złośliwego oprogramowania, który ostatecznie ma na celu wdrożenie oprogramowania ransomware w systemie ofiary. Cyberprzestępcy prowadzący kampanię szkodliwego oprogramowania wykorzystują prawdziwych operatorów telefonicznych do rozprzestrzeniania szkodliwego oprogramowania.

Pierwszym krokiem ataku złośliwego oprogramowania jest otrzymanie przez ofiarę wiadomości phishingowej. Tekst e-maila wykorzystuje sprytną inżynierię społeczną, aby przestraszyć ofiary do działania. List zachęca odbiorcę, aby zadzwonił pod fałszywy numer telefonu pomocy technicznej w celu anulowania subskrypcji próbnej, która rzekomo automatycznie zmieni się na płatną, jeśli nie zostanie wyraźnie anulowana. .

Gdy użytkownik zadzwoni na fałszywą linię wsparcia centrum telefonicznego, skontaktuje się z nim operator na żywo, który współpracuje z gangiem szkodliwego oprogramowania. Operator telefoniczny instruuje ofiarę, aby odwiedziła stronę internetową, z której musi pobrać plik Excel do wypełnienia, jeśli chce anulować nieistniejącą subskrypcję.

Gdy użytkownik pobiera i otwiera plik Excel, złośliwe makro zawarte w pliku arkusza kalkulacyjnego pobiera główny ładunek. Użyte złośliwe oprogramowanie nazywa się BazarLoader i instaluje backdoora, którego przestępcy mogą później wykorzystać do wykonania różnych złośliwych zadań. Backdoor daje hakerom możliwość przesyłania dodatkowego złośliwego oprogramowania do systemu ofiary, wyłuskiwania z niego informacji, a także znajdowania i wykorzystywania innych podatnych na ataki maszyn podłączonych do tej samej sieci.

Mimo że różne wiadomości phishingowe wykorzystują różne fałszywe subskrypcje jako przynętę, Microsoft logicznie rzecz biorąc, najbardziej koncentruje się na wiadomościach e-mail, które podszywają się pod subskrypcję Office 365 i są skierowane do użytkowników Office. Innym wyzwaniem, które Microsoft podkreśla w swoim poście dotyczącym kampanii złośliwego oprogramowania, jest to, jak trudno jest oprogramowaniu antywirusowemu wykryć, że oryginalna wiadomość phishingowa jest złośliwa. Przynęta phishingowa nie zawiera żadnych złośliwych załączników ani bezpośrednich odsyłaczy do złośliwych domen i adresów URL, co szczególnie utrudnia wczesne wykrycie i oznaczenie wiadomości e-mail jako złośliwej.

Ponadto Microsoft zauważył, że ta sama grupa szkodliwego oprogramowania, która prowadzi kampanię BazarLoader, również korzysta z zestawu do testowania penetracji CobaltStrike. Służy do kradzieży danych uwierzytelniających użytkownika, a także do bocznego ruchu w sieci po naruszeniu i naruszeniu jednego systemu hosta.