Call centers falsos enganam usuários para instalar ransomware e ladrões de dados
Uma campanha maliciosa sofisticada, conhecida como "BazaCall", está mirando usuários desavisados empregando call centers falsos para espalhar malware perigoso. Em vez de confiar em táticas tradicionais como URLs maliciosas ou anexos infectados, esses invasores usam uma abordagem de phishing de voz (vishing) , enganando as vítimas para que baixem malware que pode exfiltrar dados e até mesmo implantar ransomware.
Table of Contents
Como o BazaCall funciona
A campanha BazaCall começa com um e-mail enganoso que avisa os destinatários sobre uma cobrança de assinatura iminente. Para resolver o problema, o e-mail instrui o destinatário a ligar para um número específico. Aqueles que caem no truque acabam falando com um agente ao vivo em um call center fraudulento, onde são conduzidos por uma série de etapas que resultam no download do malware BazaLoader.
BazaLoader, também conhecido como BazarBackdoor, é uma ferramenta poderosa para hackers . Escrito em C++, ele atua como um downloader que instala outros softwares maliciosos em computadores infectados. Este malware é capaz de exfiltrar informações confidenciais e pode abrir caminho para ameaças adicionais, como ransomware como Ryuk e Conti. Identificado pela primeira vez em abril de 2020, o BazaLoader tem sido usado por vários grupos de criminosos cibernéticos devido à sua versatilidade e furtividade.
De acordo com a Equipe de Inteligência de Ameaças do Microsoft 365 Defender, quando o BazaLoader se infiltra em um sistema, os invasores podem obter acesso a dados críticos, roubar credenciais e iniciar ataques de ransomware, tudo isso dentro de 48 horas após a infecção inicial.
O apelo perigoso dos ataques liderados por humanos
Uma das razões pelas quais o BazaCall é tão insidioso é o uso de operadores humanos para enganar as vítimas e fazê-las baixar malware. Como os e-mails de phishing não contêm os links ou anexos maliciosos usuais, é muito mais difícil para o software de segurança detectar e bloquear esses ataques.
Os invasores por trás do BazaCall até desenvolveram métodos de infecção sofisticados. No início de 2023, pesquisadores da Palo Alto Networks e da Proofpoint expuseram uma operação que enganava os usuários a visitar sites de serviços de e-books falsos e plataformas de streaming de filmes. Uma vez nesses sites fraudulentos, as vítimas eram encorajadas a baixar planilhas do Excel manipuladas com o malware BazaLoader.
O ataque mais recente, descoberto pela Microsoft, envolve uma tática semelhante. Agentes de call center direcionam as vítimas para um site de receitas falsas (topcooks[.]us), onde o malware é discretamente implantado como parte de um processo de "cancelamento de assinatura de teste". O envolvimento de agentes de call center ao vivo adiciona uma camada de engenharia social que torna o BazaCall ainda mais perigoso.
Defendendo-se contra campanhas BazaCall
A cadeia de ataque BazaCall demonstra a crescente sofisticação das campanhas de malware, onde a interação humana se torna uma parte essencial da estratégia. Ao contrário dos ataques automatizados de malware, essa abordagem prática torna mais desafiador para as organizações detectar e responder rapidamente às ameaças.
Para se defender contra ataques tão complexos, os especialistas enfatizam a necessidade de segurança entre domínios e fortes correlações entre diferentes eventos para desenvolver uma defesa abrangente. Monitorar comunicações de saída incomuns, treinamento de conscientização de funcionários e ficar vigilante a cobranças de assinatura suspeitas são apenas algumas das etapas proativas para combater essas ameaças.
A segurança cibernética continua a evoluir, mas também as táticas dos invasores. Vigilância e defesas multicamadas são essenciais para proteger contra campanhas de malware cada vez mais intrincadas como a BazaCall.
