虚假呼叫中心诱骗用户安装勒索软件和数据窃取程序
一个名为“BazaCall”的复杂恶意活动利用虚假呼叫中心传播危险恶意软件,以毫无戒心的用户为目标。这些攻击者不依赖恶意 URL 或受感染附件等传统策略,而是使用语音钓鱼 (vishing) 方法,诱骗受害者下载恶意软件,从而窃取数据甚至部署勒索软件。
Table of Contents
BazaCall 的工作原理
BazaCall 活动以一封欺骗性的电子邮件开始,该电子邮件警告收件人即将收取订阅费。为了解决这个问题,电子邮件指示收件人拨打一个特定的号码。那些上当受骗的人最终会与欺诈性呼叫中心的人工客服人员通话,在那里他们被引导完成一系列步骤,最终导致下载 BazaLoader 恶意软件。
BazaLoader,又名 BazarBackdoor,是黑客的强大工具。它用 C++ 编写,充当下载器,在受感染的计算机上安装其他恶意软件。这种恶意软件能够窃取敏感信息,并为其他威胁铺平道路,例如 Ryuk 和 Conti 等勒索软件。BazaLoader 于 2020 年 4 月首次被发现,由于其多功能性和隐蔽性,已被多个网络犯罪集团使用。
据 Microsoft 365 Defender 威胁情报团队称,一旦 BazaLoader 渗透到系统,攻击者就可以访问关键数据、窃取凭据并发起勒索软件攻击——所有这些都在最初感染后的 48 小时内完成。
人类主导的攻击的危险吸引力
BazaCall 如此阴险的原因之一是利用人工操作员诱骗受害者下载恶意软件。由于钓鱼电子邮件不包含常见的恶意链接或附件,安全软件很难检测和阻止这些攻击。
BazaCall 背后的攻击者甚至开发了复杂的感染方法。2023 年早些时候,Palo Alto Networks 和 Proofpoint 的研究人员揭露了一项操作,该操作诱骗用户访问虚假电子书服务和电影流媒体平台的网站。一旦进入这些欺诈网站,受害者就会被鼓励下载装有 BazaLoader 恶意软件的 Excel 电子表格。
微软发现的最新攻击采用了类似的策略。呼叫中心代理将受害者引导至一个虚假的食谱网站 (topcooks[.]us),恶意软件会作为“试用订阅取消”流程的一部分被秘密部署。现场呼叫中心代理的参与增加了一层社会工程学,使 BazaCall 变得更加危险。
防御 BazaCall 攻击活动
BazaCall 攻击链表明恶意软件活动日益复杂,其中人机交互成为该策略的关键部分。与自动恶意软件攻击不同,这种亲自动手的方法使组织更难以检测和快速应对威胁。
为了防御此类复杂攻击,专家强调需要跨域安全性和不同事件之间的强关联性,以制定全面的防御措施。监控异常的出站通信、员工意识培训以及对可疑订阅费用保持警惕只是对抗这些威胁的一些主动措施。
网络安全不断发展,但攻击者的策略也在不断变化。警惕性和多层防御对于防范 BazaCall 等日益复杂的恶意软件活动至关重要。
