虛假呼叫中心誘騙用戶安裝勒索軟體和資料竊取程序
一種名為「BazaCall」的複雜惡意活動透過利用虛假呼叫中心傳播危險的惡意軟體來針對毫無戒心的用戶。這些攻擊者沒有依賴惡意 URL 或受感染附件等傳統策略,而是使用語音網路釣魚 (vishing) 方法,誘騙受害者下載可以竊取資料甚至部署勒索軟體的惡意軟體。
Table of Contents
BazaCall 的工作原理
BazaCall 活動以欺騙性電子郵件開始,警告收件者即將收取訂閱費用。為了解決該問題,電子郵件指示收件人撥打特定號碼。那些上當的人最終會與欺詐性呼叫中心的現場代理交談,在那裡他們會被引導執行一系列步驟,最終下載 BazaLoader 惡意軟體。
BazaLoader,也稱為BazarBackdoor,是駭客的強大工具。它用 C++ 編寫,充當下載程序,在受感染的電腦上安裝其他惡意軟體。這種惡意軟體能夠洩露敏感訊息,並可能為其他威脅鋪平道路,例如 Ryuk 和 Conti 等勒索軟體。 BazaLoader 於 2020 年 4 月首次被發現,由於其多功能性和隱蔽性,已被多個網路犯罪組織使用。
根據 Microsoft 365 Defender 威脅情報團隊的說法,一旦 BazaLoader 滲透到系統中,攻擊者就可以存取關鍵資料、竊取憑證並發動勒索軟體攻擊,所有這些都在初始感染後的 48 小時內完成。
人為主導的攻擊的危險吸引力
BazaCall 如此陰險的原因之一是利用人工操作員誘騙受害者下載惡意軟體。由於網路釣魚電子郵件不包含常見的惡意連結或附件,因此安全軟體偵測和阻止這些攻擊要困難得多。
BazaCall 背後的攻擊者甚至開發出了複雜的感染方法。 2023 年初,Palo Alto Networks 和 Proofpoint 的研究人員曝光了一項欺騙用戶訪問虛假電子書服務和電影串流平台網站的操作。一旦進入這些詐騙網站,受害者就會被鼓勵下載被 BazaLoader 惡意軟體操縱的 Excel 電子表格。
微軟最近發現的一次攻擊也採取了類似的策略。呼叫中心代理將受害者引導至虛假食譜網站 (topcooks[.]us),該惡意軟體作為「試用訂閱取消」流程的一部分被謹慎部署。現場呼叫中心代理的參與增加了一層社會工程,使 BazaCall 變得更加危險。
防禦 BazaCall 活動
BazaCall 攻擊鏈顯示惡意軟體活動日益複雜,其中人機互動成為該策略的關鍵部分。與自動惡意軟體攻擊不同,這種實際操作方法使組織偵測和快速回應威脅更具挑戰性。
為了防禦如此複雜的攻擊,專家強調需要跨域安全和不同事件之間的強關聯性來制定全面的防禦措施。監控異常的出站通訊、員工意識培訓以及對可疑的訂閱費用保持警惕只是應對這些威脅的一些主動措施。
網路安全不斷發展,但攻擊者的策略也在不斷發展。保持警覺和多層防禦對於防範 BazaCall 等日益複雜的惡意軟體活動至關重要。