Microsoft spårar ny malware-kampanj med Call Center Scam
Säkerhetsforskare med Microsofts cybersäkerhetsavdelning varnar allmänheten om en ny tvåstegs-attack mot skadlig programvara som i slutändan försöker distribuera ransomware på offrets system. De hotaktörer som driver skadekampanjen använder riktiga telefonoperatörer för att sprida skadlig programvara.
Det första steget i attacken mot skadlig programvara innebär att offret får ett phishing-e-postmeddelande. E-postens text använder smart social teknik för att skrämma offren till handling. Brevet uppmanar mottagaren att ringa ett falskt telefonnummer för support för att avbryta en prenumeration som förmodligen automatiskt övergår till en betald om den inte uttryckligen annulleras.
När användaren ringer den falska callcentrets supportlinje kontaktas de av en liveoperatör som arbetar med malware-gänget. Telefonoperatören instruerar offret att besöka en webbplats där de behöver ladda ner en Excel-fil för att fylla i om de vill säga upp sin obefintliga prenumeration.
När användaren laddar ner och öppnar Excel-filen hämtar ett skadligt makro i kalkylfilen den huvudsakliga nyttolasten. Den skadliga programvaran heter BazarLoader och installerar en bakdörr som brottslingar senare kan använda för att utföra en mängd olika skadliga uppgifter. Bakdörren ger hackarna möjlighet att ladda upp ytterligare skadlig kod till offretsystemet, skrapa information från det samt hitta och utnyttja andra utsatta maskiner anslutna till samma nätverk.
Även om olika phishing-e-postmeddelanden använder olika falska prenumerationer som bete, är Microsoft logiskt sett mest fokuserat på e-postmeddelanden som förfalskar en Office 365-prenumeration och riktar sig till Office-användare. En annan utmaning som Microsoft lyfter fram i sitt inlägg om skadlig programkampanj är hur svårt det är för programvara mot skadlig kod att upptäcka att det ursprungliga nätfiske-e-postmeddelandet är skadligt. Nätfiskebiten innehåller inga skadliga bilagor eller direkta länkar till skadliga domäner och webbadresser, vilket gör tidig upptäckt och flaggning av e-postmeddelandet som skadligt särskilt svårt.
Dessutom märkte Microsoft att samma malware-grupp som kör BazarLoader-kampanjen också använder CobaltStrike penetration test kit. Det tjänar syftet att stjäla användaruppgifter, såväl som sidorörelse över ett nätverk efter att ett enda värdsystem på det har brutits och äventyrats.
