Исследователи безопасности обнаружили новую фишинговую кампанию по электронной почте BazarCall, которая позволяет обойти автоматические системы обнаружения угроз и доставить вредоносное ПО BazarLoader, используемое бандой TrickBot.
В начале месяца была замечена новая волна электронных писем BazarCall, которые выдавали себя за уведомление о списании средств с платежной карты за продолжение подписки на онлайн-сервис.
Отменить подписку на потоковое видео
BazarCall - это новый метод фишинга, используемый с начала года, который полагается на центры обработки вызовов, которые направляют пользователей на загрузку документов, зараженных вредоносным ПО.Он в значительной степени полагается на социальную инженерию и взаимодействие с пользователем, начиная с уведомления об окончании пробного периода для службы и заканчивая взиманием платы за подписку.
В недавней кампании, пойманной исследователями из Proofpoint, сообщения якобы исходили от службы потоковых развлечений, в которых сообщалось, что срок действия пробной / демонстрационной версии истекает и что с их платежной карты будет взиматься плата за премиальный план.
источник: Proofpoint
В электронных письмах указан номер телефона, по которому получатели могут позвонить, чтобы отменить подписку. Однако инструкции, полученные с другого конца линии, указывают на веб-сайт предполагаемой потоковой и телевизионной службы под названием "BravoMovies" от компании UrbanCinema. По этой причине Proofpoint использует имя BazaFlix для отслеживания этой кампании.
Исследователи говорят, что веб-сайт выглядит достаточно реалистично с использованием постеров к фильмам из различных общедоступных источников, «включая рекламное агентство, творческую социальную сеть Behance и книгу« Как украсть собаку ».
Следуя инструкциям по отказу от подписки на потоковые сервисы BravosMovies, пользователи получают возможность загрузить вредоносный документ Excel с макросами, которые устанавливают вредоносное ПО BazarLoader.
источник: Proofpoint
Хотя вредоносное ПО используется для загрузки и выполнения других вредоносных файлов, исследователи заявили, что они не наблюдали полезной нагрузки второго этапа для этой кампании.
BazarLoader появился в апреле прошлого года, и из-за схожести кода и используемой инфраструктуры считается, что у него те же разработчики, что и у трояна TrickBot .
Банда TrickBot печально известна распространением программ-вымогателей Ryuk и Conti ценным целям (корпоративным жертвам), а BazarLoader - еще один инструмент, позволяющий избежать использования высоко обнаруживаемого трояна.
Метод доставки вредоносных программ BazaCall начал использоваться в конце января и продолжался до конца марта. Хотя техника осталась прежней, злоумышленники использовали различные темы для ловли жертв.
Предыдущие кампании соблазнялись поддельными подписками, связанными с компаниями фармацевтического, цветочного, нижнего, медицинского или антивирусного бизнеса.
Хотя считается, что и BazarLoader, и TrickBot созданы одной и той же группой, центры обработки вызовов могут управляться другой бандой, которая арендует их для распространения вредоносного ПО.
Чтобы показать, что происходит, когда ничего не подозревающая жертва BazaCall звонит по номеру телефона, указанному в фишинговом письме, исследователь безопасности Брэд Дункан поделился видео с диалогом с колл-центром злоумышленника .
Перевод - Google
Bleeping Computer
