Falska callcenter lurar användare att installera ransomware och datastölder
En sofistikerad skadlig kampanj, känd som "BazaCall", riktar sig till intet ont anande användare genom att använda falska callcenter för att sprida farlig skadlig programvara. Istället för att förlita sig på traditionell taktik som skadliga webbadresser eller infekterade bilagor, använder dessa angripare ett röstnätfiske (vishing) som lurar offren att ladda ner skadlig programvara som kan exfiltrera data och till och med distribuera ransomware.
Table of Contents
Hur BazaCall fungerar
BazaCall-kampanjen börjar med ett vilseledande e-postmeddelande som varnar mottagare för en förestående prenumerationsavgift. För att lösa problemet instruerar e-postmeddelandet mottagaren att ringa ett specifikt nummer. De som faller för tricket slutar med att prata med en liveagent på ett bedrägligt callcenter, där de leds genom en rad steg som resulterar i nedladdning av BazaLoader malware.
BazaLoader, även känd som BazarBackdoor, är ett kraftfullt verktyg för hackare . Den är skriven i C++ och fungerar som en nedladdare som installerar annan skadlig programvara på infekterade datorer. Denna skadliga programvara kan exfiltrera känslig information och kan bana väg för ytterligare hot, såsom ransomware som Ryuk och Conti. BazaLoader identifierades först i april 2020 och har använts av flera cyberkriminella grupper på grund av dess mångsidighet och smygande.
Enligt Microsoft 365 Defender Threat Intelligence Team kan angripare när BazaLoader infiltrerar ett system få tillgång till kritisk data, stjäla referenser och initiera ransomware-attacker – allt inom 48 timmar efter den första infektionen.
Det farliga överklagandet av människoledda attacker
En av anledningarna till att BazaCall är så lömsk är användningen av mänskliga operatörer för att lura offer att ladda ner skadlig programvara. Eftersom nätfiskemeddelandena inte innehåller de vanliga skadliga länkarna eller bilagorna, är det mycket svårare för säkerhetsprogramvara att upptäcka och blockera dessa attacker.
Angripare bakom BazaCall har till och med utvecklat sofistikerade infektionsmetoder. Tidigare under 2023 avslöjade forskare från Palo Alto Networks och Proofpoint en operation som lurade användare att besöka webbplatser för falska e-bokstjänster och filmströmningsplattformar. Väl på dessa bedrägliga webbplatser uppmuntrades offren att ladda ner Excel-kalkylblad riggade med BazaLoader skadlig programvara.
Den senaste attacken, avslöjad av Microsoft, involverar en liknande taktik. Call center-agenter dirigerar offer till en webbplats med falska recept (topcooks[.]us), där skadlig programvara distribueras diskret som en del av en process för att avbryta provprenumerationer. Inblandningen av live call center-agenter lägger till ett lager av social ingenjörskonst som gör BazaCall ännu farligare.
Försvara sig mot BazaCall-kampanjer
BazaCall-attackkedjan visar den växande sofistikeringen av skadliga kampanjer, där mänsklig interaktion blir en viktig del av strategin. Till skillnad från automatiserade skadliga attacker gör detta praktiska tillvägagångssätt det mer utmanande för organisationer att upptäcka och reagera snabbt på hot.
För att försvara sig mot sådana komplexa attacker betonar experter behovet av säkerhet över flera domäner och starka samband mellan olika händelser för att utveckla ett heltäckande försvar. Övervakning av ovanlig utgående kommunikation, utbildning för anställdas medvetenhet och att hålla sig vaksam mot misstänkta prenumerationsavgifter är bara några av de proaktiva stegen för att bekämpa dessa hot.
Cybersäkerhet fortsätter att utvecklas, men det gör även angriparnas taktik. Vaksamhet och flera lager försvar är avgörande för att skydda mot de allt mer intrikata skadliga kampanjerna som BazaCall.
