微軟使用呼叫中心詐騙追踪新的惡意軟件活動
微軟網絡安全部門的安全研究人員警告公眾,一種新的兩階段惡意軟件攻擊最終旨在在受害者的系統上部署勒索軟件。運行惡意軟件活動的威脅參與者正在使用真實的電話運營商來傳播惡意軟件。
惡意軟件攻擊的第一步涉及受害者接收網絡釣魚電子郵件。電子郵件的文本使用巧妙的社會工程來嚇唬受害者採取行動。這封信敦促收件人撥打虛假的支持電話號碼,以取消試用訂閱,如果未明確取消,該訂閱將自動轉換為付費訂閱。
一旦用戶撥打虛假的呼叫中心支持熱線,與惡意軟件團伙合作的現場接線員就會與他們聯繫。電話運營商指示受害者訪問一個網站,如果他們想取消不存在的訂閱,他們需要下載一個 Excel 文件來填寫。
當用戶下載並打開 Excel 文件時,電子表格文件中包含的惡意宏會下載主要負載。所使用的惡意軟件名為 BazarLoader,並安裝了一個後門,犯罪分子稍後可以使用該後門執行各種惡意任務。後門使黑客能夠將額外的惡意軟件上傳到受害系統,從中抓取信息以及查找和利用連接到同一網絡的其他易受攻擊的機器。
儘管不同的網絡釣魚電子郵件使用不同的虛假訂閱作為誘餌,但從邏輯上講,Microsoft 最專注於欺騙 Office 365 訂閱並針對 Office 用戶的電子郵件。微軟在其關於惡意軟件活動的帖子中強調的另一個挑戰是反惡意軟件很難發現原始網絡釣魚電子郵件是惡意的。網絡釣魚誘餌不包含任何惡意附件,也不包含任何指向惡意域和 URL 的直接鏈接,這使得早期檢測和標記電子郵件為惡意郵件特別困難。
此外,微軟注意到運行 BazarLoader 活動的同一惡意軟件組也使用 CobaltStrike 滲透測試工具包。它用於竊取用戶憑據,以及在其上的單個主機系統遭到破壞和破壞後在網絡上的橫向移動。