Поддельные колл-центры обманывают пользователей, заставляя их устанавливать программы-вымогатели и программы для кражи данных

Сложная вредоносная кампания, известная как «BazaCall», нацелена на ничего не подозревающих пользователей, используя фальшивые колл-центры для распространения опасного вредоносного ПО. Вместо того, чтобы полагаться на традиционные тактики, такие как вредоносные URL-адреса или зараженные вложения, эти злоумышленники используют подход голосового фишинга (вишинга) , обманывая жертв, заставляя их загружать вредоносное ПО, которое может изымать данные и даже развертывать программы-вымогатели.
Table of Contents
Как работает BazaCall
Кампания BazaCall начинается с обманного письма, предупреждающего получателей о предстоящей плате за подписку. Чтобы решить проблему, в письме получателю предлагается позвонить по определенному номеру. Те, кто попался на уловку, в конечном итоге разговаривают с живым агентом в мошенническом колл-центре, где их проводят через ряд шагов, которые приводят к загрузке вредоносного ПО BazaLoader.
BazaLoader, также известный как BazarBackdoor, является мощным инструментом для хакеров . Написанный на C++, он действует как загрузчик, который устанавливает другое вредоносное программное обеспечение на зараженные компьютеры. Эта вредоносная программа способна извлекать конфиденциальную информацию и может проложить путь для дополнительных угроз, таких как программы-вымогатели, такие как Ryuk и Conti. Впервые обнаруженный в апреле 2020 года, BazaLoader использовался несколькими группами киберпреступников из-за своей универсальности и скрытности.
По данным группы по анализу угроз Microsoft 365 Defender, после проникновения BazaLoader в систему злоумышленники могут получить доступ к критически важным данным, украсть учетные данные и инициировать атаки с целью вымогательства — и все это в течение 48 часов с момента первоначального заражения.
Опасная привлекательность атак, совершаемых людьми
Одна из причин, по которой BazaCall так коварен, — это использование операторов-людей для обмана жертв, заставляющих их загружать вредоносное ПО. Поскольку фишинговые письма не содержат обычных вредоносных ссылок или вложений, программному обеспечению безопасности гораздо сложнее обнаружить и заблокировать эти атаки.
Злоумышленники, стоящие за BazaCall, даже разработали сложные методы заражения. Ранее в 2023 году исследователи из Palo Alto Networks и Proofpoint раскрыли операцию, которая обманом заставляла пользователей посещать веб-сайты поддельных сервисов электронных книг и платформ потокового вещания фильмов. Попав на эти мошеннические сайты, жертвам предлагалось загрузить таблицы Excel, оснащенные вредоносным ПО BazaLoader.
Последняя атака, раскрытая Microsoft, использует похожую тактику. Агенты колл-центра направляют жертв на поддельный сайт рецептов (topcooks[.]us), где вредоносное ПО незаметно внедряется в рамках процесса «отмены пробной подписки». Участие реальных агентов колл-центра добавляет слой социальной инженерии, что делает BazaCall еще более опасным.
Защита от кампаний BazaCall
Цепочка атак BazaCall демонстрирует растущую сложность вредоносных кампаний, где человеческое взаимодействие становится ключевой частью стратегии. В отличие от автоматизированных атак вредоносного ПО, этот практический подход усложняет для организаций задачу обнаружения и быстрого реагирования на угрозы.
Чтобы защититься от таких сложных атак, эксперты подчеркивают необходимость кросс-доменной безопасности и сильных корреляций между различными событиями для разработки комплексной защиты. Мониторинг необычной исходящей коммуникации, обучение сотрудников по повышению осведомленности и бдительность в отношении подозрительных списаний за подписку — вот лишь некоторые из проактивных мер по борьбе с этими угрозами.
Кибербезопасность продолжает развиваться, но также и тактика злоумышленников. Бдительность и многоуровневая защита имеют решающее значение для защиты от все более сложных вредоносных кампаний, таких как BazaCall.