微软使用呼叫中心诈骗追踪新的恶意软件活动

微软网络安全部门的安全研究人员警告公众，一种新的两阶段恶意软件攻击最终试图在受害者的系统上部署勒索软件。运行恶意软件活动的威胁参与者正在使用真实的电话运营商来传播恶意软件。

恶意软件攻击的第一步涉及受害者接收网络钓鱼电子邮件。电子邮件的文本使用巧妙的社会工程来吓唬受害者采取行动。这封信敦促收件人拨打虚假的支持电话号码，以取消试用订阅，如果未明确取消，该订阅将自动转换为付费订阅。

一旦用户拨打虚假的呼叫中心支持热线，与恶意软件团伙合作的现场接线员就会与他们联系。电话运营商指示受害者访问一个网站，如果他们想取消不存在的订阅，他们需要下载一个 Excel 文件来填写。

当用户下载并打开 Excel 文件时，电子表格文件中包含的恶意宏会下载主要负载。所使用的恶意软件名为 BazarLoader，并安装了一个后门，犯罪分子稍后可以使用该后门执行各种恶意任务。后门使黑客能够将额外的恶意软件上传到受害系统，从中抓取信息以及查找和利用连接到同一网络的其他易受攻击的机器。

尽管不同的网络钓鱼电子邮件使用不同的虚假订阅作为诱饵，但从逻辑上讲，Microsoft 最专注于欺骗 Office 365 订阅并针对 Office 用户的电子邮件。微软在其关于恶意软件活动的帖子中强调的另一个挑战是反恶意软件很难发现原始网络钓鱼电子邮件是恶意的。网络钓鱼诱饵不包含任何恶意附件，也不包含任何指向恶意域和 URL 的直接链接，这使得早期检测和标记电子邮件为恶意邮件特别困难。

此外，微软注意到运行 BazarLoader 活动的同一恶意软件组也使用 CobaltStrike 渗透测试工具包。它的目的是窃取用户凭据，以及在其上的单个主机系统遭到破坏和破坏后在网络上的横向移动。