Microsoft отслеживает новую кампанию по борьбе с вредоносным ПО с помощью мошенничества в колл-центре

Исследователи безопасности из отдела кибербезопасности Microsoft предупреждают общественность о новой двухэтапной атаке вредоносного ПО, которая в конечном итоге направлена на развертывание вымогателей в системе жертвы. Злоумышленники, ведущие кампанию по вредоносному ПО, используют реальных телефонных операторов для распространения вредоносного ПО.

На первом этапе атаки вредоносного ПО жертва получает фишинговое письмо. В тексте электронного письма используется умная социальная инженерия, чтобы напугать жертв и заставить их действовать. В письме получателю предлагается позвонить по поддельному номеру телефона службы поддержки, чтобы отменить пробную подписку, которая предположительно автоматически перейдет на платную, если ее не отменить явным образом.

Как только пользователь звонит на линию поддержки фальшивого колл-центра, с ним связывается действующий оператор, который работает с бандой вредоносных программ. Оператор по телефону инструктирует жертву посетить веб-сайт, на котором им необходимо загрузить файл Excel, чтобы заполнить его, если они хотят отменить свою несуществующую подписку.

Когда пользователь загружает и открывает файл Excel, вредоносный макрос, содержащийся в файле электронной таблицы, загружает основную полезную нагрузку. Используемая вредоносная программа называется BazarLoader и устанавливает бэкдор, который злоумышленники могут впоследствии использовать для выполнения различных вредоносных задач. Бэкдор дает хакерам возможность загружать дополнительные вредоносные программы в систему жертвы, извлекать из нее информацию, а также находить и использовать другие уязвимые машины, подключенные к той же сети.

Несмотря на то, что в разных фишинговых письмах используются разные поддельные подписки в качестве приманки, логически Microsoft больше всего сосредоточена на электронных письмах, которые подделывают подписку на Office 365 и предназначены для пользователей Office. Еще одна проблема, которую Microsoft подчеркивает в своем сообщении о кампании по борьбе с вредоносными программами, заключается в том, насколько сложно антивирусному программному обеспечению обнаружить вредоносное фишинговое письмо. Фишинговая приманка не содержит вредоносных вложений или прямых ссылок на вредоносные домены и URL-адреса, что особенно затрудняет раннее обнаружение и пометку электронного письма как вредоносного.

Кроме того, Microsoft заметила, что та же группа вредоносных программ, которая запускает кампанию BazarLoader, также использует комплект для тестирования на проникновение CobaltStrike. Он служит для кражи учетных данных пользователя, а также для бокового перемещения по сети после взлома и взлома одной хост-системы.