Microsoft rastreia nova campanha de malware usando esquema de call center
Os pesquisadores de segurança da divisão de segurança cibernética da Microsoft estão alertando o público sobre um novo ataque de malware em duas fases que visa, em última instância, implantar ransomware no sistema da vítima. Os agentes da ameaça que executam a campanha de malware estão usando operadoras de telefone reais para espalhar o malware.
A primeira etapa do ataque de malware envolve a vítima receber um e-mail de phishing. O texto do e-mail usa engenharia social inteligente para assustar as vítimas e colocá-las em ação. A carta exorta o destinatário a ligar para um número de telefone de suporte falso para cancelar uma assinatura de teste que supostamente passará automaticamente para uma paga se não for explicitamente cancelada.
Assim que o usuário liga para a linha falsa de suporte do call center, ele é contatado por uma operadora que trabalha com a gangue de malware. A operadora de telefone instrui a vítima a visitar um site onde ela precisa baixar um arquivo Excel para preencher se quiser cancelar sua assinatura inexistente.
Quando o usuário baixa e abre o arquivo Excel, uma macro maliciosa contida no arquivo de planilha baixa a carga principal. O malware usado é denominado BazarLoader e instala um backdoor que os criminosos podem usar posteriormente para executar uma variedade de tarefas maliciosas. O backdoor dá aos hackers a capacidade de fazer upload de malware adicional para o sistema da vítima, extrair informações dele, bem como encontrar e explorar outras máquinas vulneráveis conectadas à mesma rede.
Mesmo que diferentes emails de phishing usem diferentes assinaturas falsas como isca, a Microsoft logicamente está mais focada em emails que falsificam uma assinatura do Office 365 e visam usuários do Office. Outro desafio que a Microsoft destaca em seu post sobre a campanha de malware é o quão difícil é para o software anti-malware detectar que o e-mail de phishing original é malicioso. A isca de phishing não contém anexos maliciosos nem links diretos para domínios e URLs maliciosos, o que torna a detecção precoce e a sinalização do e-mail malicioso particularmente difícil.
Além disso, a Microsoft notou que o mesmo grupo de malware executando a campanha BazarLoader também usa o kit de teste de penetração CobaltStrike. Ele tem o objetivo de roubar credenciais do usuário, bem como o movimento lateral em uma rede depois que um único sistema host nela foi violado e comprometido.
